分析日志；排查系统故障

1.分析日志：1）了解日志：日志：记录系统和程序运行的信息，用于排查故障和诊断系统状态。日志的分类：内核及系统日志一般有rsyslog进行统一管理；用户日志记录用户行为日志；程序日志一般独立管理。2）常见的日志文件及其作用：/var/log/messages 包括内核及系统日志，大多的日志都在这文件中。推荐使用命令：tail -f /var/log/messages 或者：less /var/log/messages/var/log/cron 计划任务的日志/var/log/dmesg 启动过程的日志，一般系统的硬件加载过程中的信息都会被记录。推荐命令：grep error /var/log/dmesg(检查启动过程是否有错误)/var/log/secure 用户认证相关的信息

3）内核、系统、用户日志的的集中管理：rsyslog

rpm -qa |grep rsyslogrpm -ql rsyslogman 5 rsyslog.conf ##配置文件的帮助vi /etc/rsyslog.conf ##调整日志的记录行为#rules（规则):设备.优先级 日志存放位置（文件/IP）设备：auth(认证，与security相同)，cron（计划任务），kern（内核），mail（邮件），user（用户），local0-local7（用户自定义日志存放位置）优先级：严重级别重第到高--debug（调试）--info（信息）--notice（注意）--warn（提醒）--error（错误）--crit（严重）--alert（警告）--emerg（紧急，等于panic（恐慌））：可以表示所有的设备或者优先级

；--》隔开多个区域

.info;mail.none;authpriv.none;cron.none /var/log/messages #将所有设备产生的info及以上级别的日志记录在/var/log/messages中，但mail.none等排除了邮件、计划任务、认证日志。authpriv.* /var/log/secure ##将所有认证日志记录在文件中:wq/etc/init.d/rsyslog restartchkconfig rsyslog on ##设置为开机启动4）查看日志文件：tail -1 /var/log/messages时间标签：主机名或IP：程序或设备：日志内容tail -2 /var/log/secure ##查看登陆日志last ##查看登陆成功日志lastb ##查看登陆失败的日志常用分析日志的工具：vi，less，tail，awk，sed，其他编程工具。5）日志管理策略：备份，控制访问权限，集中管理，延长保留期限。经常关注：联网日志、文件传输日志、用户登陆记录日志。

修改root密码：

reboot-->按下键-->e-->下键选择kernel-->e-->输入空格1-->回车-->b-->进入单用户模式：passwd root修改密码-->init 3