linuxsa命令 linux sadf

ls和sa是什么意思ls是Linux下最常用的指令之一,也是一条非常古老的命令,它最早可追述到Unix系统,甚至更古老的Multics下相同的命令 。
计算机一直是一个很复杂的机器,其中的硬件是由许许多多繁琐的操作系统来控制,其中就包括了Linux操作系统,接下来就和我一起来认识一下Linux操作系统中的“ls”吧 。
详细内容
01
一般情况下,ls命令将每个由Directory参数指定的目录或者每个由File参数指定的名称写到标准输出,以及所要求的和标志一起的其它信息,如果不指定File或Directory参数,ls命令显示当前目录的内容 。
02
Linux是一款免费的操作系统,是一个性能稳定的多用户网络操作系统,用户可以通过网络或其他途径免费获得,并可以任意修改其源代码,是一种开源电脑操作系统内核,是一个用C语言写成,符合POSIX标准的类Unix操作系统 。
03
但人们也已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU工程各种工具和数据库的操作系统 。
04
Linux操作系统诞生于1991年10月5日(这是第一次正式向外公布时间),Linux存在着许多不同的Linux版本,但它们都使用了Linux内核 。
05
Linux可安装在各种计算机硬件设备中,比如手机、平板电脑、路由器、视频游戏控制台、台式计算机、大型机和超级计算机 。
sar命令查看历史数据前言
有的时候,我们要通过对系统的cpu负载等性能数值的查看,来判排查系统产生某种故障(经常死机或者运行速度突然变慢)的原因 。但是 , 简单的top,uptime,w等命令只可以查看当前的负载,而无法查看过去的某一时间段的cpu的负载情况 。
下面就介绍一个用于性能分析的命令 , 其可以用于查看过去的某一时间段的cpu的负载情况(系统性能) 。
查看某一时间段的cpu使用情况,请直接跳到第七节 。
一、sar概念
sysstat是Linux 系统中的常用工具包,而sar 是 Linux中sysstat工具包中的用于监控Linux系统性能的工具之一 。
sysstat 工具包中包含两种类型的工具:即时查看工具(iostat、mpstat、sar);累计统计工具(sar)
因此sar命令,又叫做系统活动情况报告 。不仅可以实时查看服务器的性能,还可以做累计统计 。
二、sar可监控的范围
文件的读写情况
系统调用的使用情况
磁盘I/O使用情况
CPU的使用统计
内存使用状况
进程活动
IPC有关的活动
三、sar命令使用环境
sar命令使用格式:
sar命令行选项(可选)间隔时间(可选)次数(可选)
常用来判断一个系统瓶颈问题
查询CPU可用 sar -u 和 sar -q 等来查看查询内存可用 sar -B、sar -r 和 sar -W 等来查看查询io可用 sar -b、sar -u 和 sar -d 等来查看
四、sar命令累计统计的实现过程
系统会通过调用 /usr/lib64/sa/ 中的三个工具(sa1 sa2 sadc)来实现,周期地记录当时的系统性能的信息的功能 。
sa1 :收集并将每天的系统性能的信息写入一个二进制的文件中 , 它是sadc的前端程序
sa2 :收集每天的系统活跃的信息并写入总结性的文件中 , 其作为 sar的前端程序
sadc :收集系统的动态数据的数据并写入一个二进制的文件中,其作为 sar 工具的后端
五、sar的日志
sar是由有类似日志切割的功能的,它会依据/etc/cron.d/sysstat中的计划任务 , 将日志放入/var/log/sa/中
注:日志为二进制文件,不可使用more、less、vim工具查看 , 必须使用sar或sadf
可以根据需求修改该计划任务
如要查看某一时间段的服务器的性能的其中一个方法就是:使用sar命令,查看当天的日志文件
sar -f /var/log/sa/sa15
[root@lib64]#sar-f/var/log/sa/sa15Linux3.10.0-327.el7.x86_64(ops-node7)07/15/2018_x86_64_(24CPU)12:00:01AMCPU\user%nice%system%iowait%steal%idle12:10:01AMall1.350.000.850.120.0097.6712:20:01AMall1.320.000.860.110.0097.7112:30:02AMall1.370.000.870.110.0097.6512:40:01AMall1.320.000.910.110.0097.6612:50:01AMall1.350.000.890.110.0097.6501:00:01AMall1.360.000.870.110.0097.6601:10:01AMall1.360.000.850.110.0097.6801:20:01AMall1.350.000.890.100.0097.6601:30:01AMall1.320.000.890.110.0097.6801:40:01AMall1.290.000.950.110.0097.6501:50:01AMall1.350.000.880.120.0097.6402:00:01AMall1.340.000.880.110.0097.6802:10:01AMall1.330.000.900.110.0097.6502:20:01AMall1.360.000.870.120.0097.6502:30:01AMall1.350.000.850.120.0097.6802:40:01AMall1.410.000.920.120.0097.5602:50:01AMall1.570.000.950.130.0097.3503:00:01AMall4.210.000.810.160.0094.8103:10:01AMall2.500.000.870.130.0096.5003:20:01AMall1.370.000.870.120.0097.6503:30:01AMall1.360.000.950.130.0097.5603:40:01AMall1.480.000.970.240.0097.3003:50:01AMall1.350.010.910.130.0097.6004:00:01AMall1.390.000.950.190.0097.4704:10:01AMall1.360.000.990.130.0097.52
注意:
sar查看性能或其日志时,使用的12/24小时制;日志的切割是昨天晚上12点到今天12点为一天;默认只保留一个月的日志
六、sar命令参数及输出项详解
【1】格式
用法:sar选项时间间隔(可选)次数 (可选)
interval: 取样周期,单位是秒count:取样次数,默认值为1options:命令行选项
【2】常用选项
-A所有报告的总和-B输出内存页面的统计信息-b输出I/O和传送速率的统计信息-C输出进程统计信息及每秒创建的进程数-d输出每一个块设备的活动信息-H输出交换空间利用率信息-h输出帮助信息-p输出友好设备名字 , 以方便查看,常与-d和-n参数结合使用-q输出进程队列长度和系统平均负载状态统计信息-R输出内存页面的统计信息-r输出内存和交换空间的统计信息-S输出交换空间利用率信息-t读取 /var/log/sa/下的某日志的数据时显示其中记录的原始时间-u输出整体CPU使用情况的统计信息-V输出版本信息-v输出内核表状况统计信息(inode、文件和其他内核表的统计信息)-W输出系统交换的统计信息-w输出任务创建与系统转换统计信息-y输出终端设备的活动信息-----------I输出指定中断的统计信息,后方可加参数{...|SUM|ALL|XALL}...指定中断号SUM指定输出每秒接收到的中断总数ALL指定输出前16个中断XALL指定输出全部的中断信息-----------P输出指定的部分的CPU的统计信息,后方可加参数{cpu|ALL}cpu指定cpuALL输出单个和整体cpu的统计数据-----------n输出网络设备(网卡)状态统计信息 , 后方可加参数{DEV|EDEV|NFS|NFSD|SOCK|ALL}DEV输出网络设备的统计信息EDEV输出网络设备的错误统计信息NFS输出NFS客户端的活动统计信息NFSD输出NFS服务器的活动统计信息SOCK输出网络套接字的使用统计信息ALL输出所有类型的网络活动统计信息-----------f从文件中读取数据信息 。一般读取sar日志,也可读取-o选项生成的文件,后方要加文件名-o将sar的输出信息保存到文件中,后方要加文件名-i指定间隔时长,单位为秒-s指定输出统计数据的起始时间(格式为hh:mm:ss;例如01:00:00)-e指定输出统计数据的截至时间,通常与-S选项连用 。无数值时默认为18:00:00(格式为hh:mm:ss;例如09:00:00)
【3】输出项
1cpu的输出
sar -u
\usrCPU在用户模式下,执行进程的时间百分比 %niceCPU在用户模式下,用于nice操作,所占用CPU总时间的百分比 %systemCPU处在系统模式(内核态)下,执行进程的时间百分比 %iowaitCPU用于等待I/O操作完成(等待输入输出完成),占用CPU总时间的百分比 %steal管理程序为另一个虚拟进程提供服务而等待虚拟CPU的百分比%idleCPU空闲时间百分比
注意:
如果%iowait的值过高 , 表示硬盘存在I/O瓶颈 如果%idle值高,表示CPU较空闲如果%idle 的值高但系统响应慢时,有可能是 CPU 等待分配内存,此时应加大内存容量 如果%idle 的值持续低于10 , 则系统的 CPU 处理能力相对较低,表明系统中最需要解决的资源是 CPU
2I/O和传送速率输出
sar -b
tps每秒向磁盘设备请求数据的次数,包括读、写请求,其为rtps与wtps的和 。每一次IO下发后会先将多个请求合并为一个I/O磁盘请求,这里tps指请求合并后的请求计数rtps每秒向磁盘设备的读请求次数 wtps每秒向磁盘设备的写请求次数 bread/s每秒钟从物理设备读入的数据量,单位为 块/s bwrtn/s每秒钟向物理设备写入的数据量,单位为 块/s
3设备使用情况输出
sar -d
DEV磁盘设备 , 加上用参数-p可以打印出sda等磁盘设备名称;如不加参数-p,设备则显示为dev253-0等tps每秒向磁盘设备请求数据的次数,包括读、写请求,其为rtps与wtps的和 。每一次IO下发后会先将多个请求合并为一个I/O磁盘请求,这里tps指请求合并后的请求计数rd_sec/s每秒读扇区的次数wr_sec/s每秒写扇区的次数avgrq-sz平均每次设备I/O操作的数据大小(扇区)avgqu-sz磁盘请求队列的平均长度await从请求磁盘到系统处理完,每次请求的平均消耗时间,包括请求队列等待时间(单位是毫秒)svctm系统处理每次请求的平均时间,不包括在请求队列中消耗的时间\utilI/O请求占CPU的百分比
4网络设备统计信息输出
sar -n EDEV
IFACE网络设备名rxpck/s每秒接收的包数量txpck/s每秒传输的包数量rxbyt/s每秒接收的字节数(单位为byte)txbyt/s每秒传输的字节数(单位为byte)rxkB/s每秒收的数据量(单位为kB)txkB/s每秒发的数据量(单位为kB)rxcmp/s每秒接收压缩包的数量txcmp/s每秒传输压缩包的数量rxmcst/s每秒接收的多播(multicast)包的总数排查网络设备故障
5网络设备故障信息输出
EDEV |egrep ‘eth0|IFACE’ (本次指定了网卡etho0,可填入其他网卡)
IFACE网络设备名rxerr/s每秒接收的坏包数量txerr/s传输包时每秒发生错误的数量coll/s传输包时每秒发生冲突的数量rxdrop/s接收包时 , 每秒丢弃的包的数量(缺乏缓存导致)txdrop/s传输包时,每秒丢弃的包的数量(缺乏缓存导致)txcarr/s传输包时 , 每秒发生的传输错误的数量rxfram/s接收包时,每秒发生帧校验错误的数量rxfifo/s接收包时,每秒钟缓冲区溢出错误的数量txfifo/s传输包时,每秒钟缓冲区溢出错误的数量
6内存分页状态输出
sar -B
pgpgin/s每秒从磁盘空间或交换空间置换到内存的字节数(单位为KB)pgpgout/s每秒从内存置换到磁盘空间或交换空间的字节数(单位为KB)fault/s每秒钟系统产生的缺页数(主缺页加次缺页)majflt/s每秒钟产生的主缺页数pgfree/s每秒被放入空闲队列中的页个数pgscank/s每秒被kswapd扫描的页个数pgscand/s每秒直接被扫描的页个数pgsteal/s每秒钟从cache中被清除来满足内存需要的页个数%vmeff每秒清除的页占总扫描页的百分比
7进程队列长度和平均负载状态输出
sar -q
runq-sz运行队列的长度 , 等待运行的进程数量
plist-sz进程列表中进程和线程的数量
ldavg-1最后1分钟的系统平均负载
ldavg-5过去5分钟的系统平均负载
ldavg-15过去15分钟的系统平均负载
8内存和交换空间状态输出
sar -r
kbmemfree空闲的内存数量(单位为KB)kbmemused已使用的内存数量,不包含内核使用的内存(单位为KB)%memused已使用内存的百分数kbbuffers内核缓冲区buffer,使用的内存数量(单位为KB)kbcached内核高速缓存cache数据使用的内存数量(单位为KB)kbcommit保证当前系统所需要的内存,即为了确保不溢出而需要的内存(RAM swap)%commitkbcommit与所有内存总量的百分比
9系统交换活动信息输出
sar -W
pswpin/s每秒系统换入的交换页面数量
pswpout/s每秒系统换出的交换页面数量
七、sar使用实例-查看某一时间段的情况
1查看凌晨1点到3点的cpu
sar -s 01:00:00 -e 03:00:00
2查看凌晨1点到3点的系统的平均负载
若要看某时间段其他性能,加上对应选项
sar -s 01:00:00 -e 03:00:00 -q
3查看本月3号的cpu
注意:
该操作需要去查看sar的日志(第五节已经介绍一次)
默认只保存一个月的
sar查看性能或其日志时,注意自己的使用的是12还是24小时制
日志的切割是昨天晚上12点到今天12点为一天
cd/var/log/sa/sar -f sa03
Linux里面杀掉进程命令是什么?方法一: Terminal终端输入: gnome-system-monitor,就可以打开system monitor
如图:
然后找到相应进程,右击选择kill process就可以了
方法二: 通过kill 进程id的方式可以实现,
首先需要知道进程id, 例如,想要杀死firefox的进程,通过 ps -ef|grep firefox,可以查到firefox的进程id:
然后通过 kill 3781 就可以关闭进程了.
补充: 1. kill -9 来强制终止退出, 例如: kill -9 3781
2.特殊用法:
kill -STOP [pid]
发送SIGSTOP (17,19,23)停止一个进程,而并不消灭这个进程 。
kill -CONT [pid]
发送SIGCONT (19,18,25)重新开始一个停止的进程 。
kill -KILL [pid]
发送SIGKILL (9)强迫进程立即停止,并且不实施清理操作 。
kill -9 -1
终止你拥有的全部进程 。
方法三: killall 通过程序的名字,来杀死进程
例如: killall firefox
注意: 该命令可以使用 -9 参数来强制杀死进程, killall -9 firefox
方法四: pkill 通过程序的名字, 直接杀死所有进程
例如: pkill firefox
方法五: 通过xkill 可以杀死图形程序应用, 例如firefox崩溃无响应,可以使用该命令.
例如: 用法xkill , 会出现一个白色的x, 然后用鼠标单击想要杀死的应用,如图
以下内容引用自:
◆编者注:
KILLALL(Section: User (1)/Updated: 1999年9月7日)
———————————————–
NAME (名称)
killall – 以名字方式来杀死进程
SYNOPSIS (总览)
killall [-egiqvw] [-signal] name …
killall -l
killall -V
DESCRIPTION (描述)
killall 发送一条信号给所有运行任意指定命令的进程. 如果没有指定信号名, 则发送SIGTERM. 。
信号可以以名字 (如 -HUP ) 或者数字 (如 -1 ) 的方式指定. 信号 0 (检查进程是否存在)只能以数字方式指定 。
如果命令名包括斜杠 (/), 那么执行该特定文件的进程将被杀掉, 这与进程名无关 。
如果对于所列命令无进程可杀, 那么 killall 会返回非零值. 如果对于每条命令至少杀死了一个进程, killall 返回 0 。Killall 进程决不会杀死自己 (但是可以杀死其它 killall 进程) 。
OPTIONS (选项)
-e
对 于很长的名字, 要求准确匹配. 如果一个命令名长于 15 个字符, 则可能不能用整个名字 (溢出了). 在这种情况下, killall 会杀死所有匹配名字前 15 个字符的所有进程. 有了 -e 选项,这样的记录将忽略. 如果同时指定了 -v 选项, killall 会针对每个忽略的记录打印一条消息 。
-g
杀死属于该进程组的进程. kill 信号给每个组只发送一次, 即使同一进程组中包含多个进程 。
-i
交互方式,在杀死进程之前征求确认信息 。
-l
列出所有已知的信号名 。
-q
如果没有进程杀死, 不会提出抱怨 。
-v
报告信号是否成功发送 。
-V
显示版本信息 。
-w
等待所有杀的进程死去. killall 会每秒检查一次是否任何被杀的进程仍然存在, 仅当都死光后才返回. 注意: 如果信号被忽略或没有起作用, 或者进程停留在僵尸状态, killall 可能会永久等待 。
FILES(相关文件)
/proc proc文件系统的存在位置 。
KNOWN bugS (已知 BUGS)
以文件方式杀死只对那些在执行时一直打开的可执行文件起作用, 也即, 混杂的可执行文件不能够通过这种方式杀死 。
要警告的是输入 killall name 可能不会在非 Linux 系统上产生预期的效果, 特别是特权用户执行时要小心 。
在两次扫描的间隙, 如果进程消失了而被代之以一个有同样 PID 的新进程, killall -w 侦测不到 。
来源:
下面来了解相关命令:
一、查看进程的命令 有ps、pstree、pgrep等:
1、ps
显示进程信息,参数可省略
-aux以BSD风格显示进程 常用
-efH以System V风格显示进程
-e , -A 显示所有进程
a显示终端上所有用户的进程
x显示无终端进程
u显示详细信息
f树状显示
w完整显示信息
l显示长列表
在终端中执行ps aux,
各列输出字段的含义:
USER进程所有者
PID进程ID
PPID父进程
%CPUCPU占用率
%MEM内存占用率
NI进程优先级 。数值越大,占用CPU时间越少
VSZ进程虚拟大小
RSS页面文件占用
TTY终端ID
STAT进程状态
---D不可中断Uninterruptible sleep (usually IO)
---R正在运行 , 或在队列中的进程
---S处于休眠状态
---T停止或被追踪
---Z僵尸进程
---W进入内存交换(从内核2.6开始无效)
---X死掉的进程
---高优先级
---N低优先级
---L有些页被锁进内存
---s包含子进程
---位于后台的进程组;
---l多线程 , 克隆线程 multi-threaded (using CLONE_THREAD, like NPTL pthreads do)
PID:进程标识符 , 系统为每一个进程分配一个识别码,称为PID 。
ps命令极为常用,其他命令还有:
2.pstree
树状显示进程信息
-a 显示完整命令及参数
-c 重复进程分别显示
-c 显示进程ID PID
-n 按 PID 排列进程
3.pgrep 进程名
显示进程的PID
-l 显示进程名和进程PID
-o 进程起始ID
-n 进程终止ID
二、结束进程的命令 有kill、pkill、killall、xkill等:
kill [信号代码] 进程PID
根据PID向进程发送信号,常用来结束进程,默认信号为 -9
信号代码 , 可取值如下:
-l [信号数字] 显示、翻译信号代码
-9 , -KILL 发送 kill 信号退出
-6 , -ABRT 发送 abort 信号退出
-15 , -TERM 发送 Termination 信号
-1 , -HUP 挂起
-2 , -INT 从键盘中断,相当于 Ctrl c
-3 , -QUIT 从键盘退出,相当于 Ctrl d
-4 , -ILL 非法指令
-11 , -SEGV 内存错误
-13 , -PIPE 破坏管道
-14 , -ALRM
-STOP 停止进程,但不结束
-CONT 继续运行已停止的进程
-9 -1 结束当前用户的所有进程
pkill 进程名
结束进程族 。如果结束单个进程,请用 kill
killall 进程名
killall和pkill 应用方法差不多,也是直接杀死运行中的程序;如果您想杀掉单个进程,请用kill 来杀掉 。
xkill
在图形界面中点杀进程 。
当xkill运行时鼠标指针变为骷髅图案,哪个图形程序崩溃一点就OK了 。如果您想终止xkill ,就按右键取消 。
比如当firefox 出现崩溃不能退出时,点鼠标就能杀死firefox。
xkill 调用方法:
[root@localhost ~]# xkill
来源:
linux中pkill的简单用法
pkill 和killall 应用方法差不多 , 也是直接杀死运行中的程序;如果您想杀掉单个进程,请用kill 来杀掉 。
必要参数
-f 显示完整程序
-l 显示源代码
-n 显示新程序
-o 显示旧程序
-v 与条件不符合的程序
-x 与条件符合的程序
选择参数
-p进程号 列出父进程为用户指定进程的进程信息
-t终端 指定终端下的所有程序
-u用户 指定用户的程序
应用方法:
#pkill 正在运行的程序名
举例:
Java代码
[root@localhost beinan]# pgrep -l gaim
2979 gaim
[root@localhost beinan]# pkill gaim
也就是说:
kill 对应的是 PID
pkill 对应的是COMMAND
例如在Ubuntu中强制结束一个已成僵尸的名称为:firefox,PID为:1603的进程,可以如下操作:
方法一:
(1)ctrl alt t,调出终端 , 输入 top , 然后就可以看到现在系统的进程,是按占用资源从多到少排列的 。
找到要关掉的进程,记下该进程第一列的数字编号(假设是xx),然后输入q,退回终端 。
(2)输入:sudo kill xx(对应刚才的编号) 。
方法二:
ctrl alt t,调出终端,输入:sudo pkill firefox
范例1: 杀死指定进程
Java代码
root@snail-hnlinux:~# ps -A //显示所有进程
PID TTYTIME CMD
1 ?00:00:03 init
2 ?00:00:00 kthreadd
3 ?00:00:00 migration/0
4 ?00:00:00 ksoftirqd/0
5 ?00:00:00 watchdog/0
……忽略部分
28382 ?00:00:00 gvfsd-http
28391 ?00:07:07 software-center
30467 ?00:00:31 designer-qt4
30487 ?00:00:06 gnome-terminal
30488 ?00:00:00 gnome-pty-helpe
30489 pts/0 00:00:00 bash
30670 ?00:00:00 debconf-communi
30749 pts/0 00:00:17 gedit
31155 ?00:00:00 dhclient
31325 ?00:00:01 sshd
31327 ?00:00:00 sshd
31400 pts/1 00:00:00 bash
31485 pts/2 00:00:00 bash
31653 ?00:00:00 aptd
31658 pts/1 00:00:00 ps
root@snail-hnlinux:~# pidof sshd //查看与sshd相关进程
31327 31325 2095
root@snail-hnlinux:~# pkill -9 sshd //杀死指定进程
范例2:杀死同义终端下的进程
Java代码
root@snail-hnlinux:~# pkill -t tty1 //杀死终端1下的所有进程
范例3: 杀死指定用户进程
Java代码
root@snail-hnlinux:~# pkill -u hnlinux
范例4:反向选择
Java代码
root@snail-hnlinux:~# pkill -vu hnlinux //杀死不属于hnlinux用户的所有进程
————————————————
版权声明:本文为CSDN博主「MrCoderr」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明 。
原文链接:
如何在linux系统下查看cpu使用率Linux查看cpu使用率可以使用top命令 。
1、在终端输入top命令linuxsa命令,如下图所示linuxsa命令的位置即为cpu使用率 。
2、如果是多核cpu,要查看全部的cpu使用率,可以按数字键1,即可显示 , 如下图所示,显示的是四核cpu的使用率 。
如何查看linux系统警告日志一、/var目录
/var 所有服务的登录的文件或错误信息文件(LOG FILES)都在/var/log下linuxsa命令,此外,一些数据库如MySQL则在/var/lib下,还有,用户未读的邮件的默认存放地点为/var/spool/mail
二、:/var/log/
系统的引导日志:/var/log/boot.log
例如:Feb 26 10:40:48 sendmial : sendmail startup succeeded
就是邮件服务启动成功!
系统日志一般都存在/var/log下
常用的系统日志如下:
核心启动日志:/var/log/dmesg
系统报错日志:/var/log/messages
邮件系统日志:/var/log/maillog
FTP系统日志:/var/log/xferlog
安全信息和系统登录与网络连接的信息:/var/log/secure
登录记录:/var/log/wtmp记录登录者讯录,二进制文件,须用last来读取内容who -u /var/log/wtmp 查看信息
News日志:/var/log/spooler
RPM软件包:/var/log/rpmpkgs
XFree86日志:/var/log/XFree86.0.log
引导日志:/var/log/boot.log记录开机启动讯息,dmesg | more
cron(定制任务日志)日志:/var/log/cron
安全信息和系统登录与网络连接的信息:/var/log/secure
文件 /var/run/utmp 记录著现在登入的用户 。
文件 /var/log/wtmp 记录所有的登入和登出 。
文件 /var/log/lastlog 记录每个用户最後的登入信息 。
文件 /var/log/btmp 记录错误的登入尝试 。
less /var/log/auth.log 需要身份确认的操作
三、部分命令详解
/var/log/messages
messages 日志是核心系统日志文件 。它包含linuxsa命令了系统启动时的引导消息,以及系统运行时的其他状态消息 。IO 错误、网络错误和其他系统错误都会记录到这个文件中 。其他信息 , 比如某个人的身份切换为 root,也在这里列出 。如果服务正在运行,比如 DHCP 服务器,您可以在 messages 文件中观察它的活动 。通常,/var/log/messages 是您在做故障诊断时首先要查看的文件 。
【linuxsa命令 linux sadf】/var/log/XFree86.0.log
这个日志记录的是 Xfree86 Xwindows 服务器最后一次执行的结果 。如果您在启动到图形模式时遇到了问题,一般情况从这个文件中会找到失败的原因 。
成 功地管理任何系统的关键之一 , 是要知道系统中正在发生什么事 。Linux 中提供了异常日志,并且日志的细节是可配置的 。Linux 日志都以明文形式存储,所以用户不需要特殊的工具就可以搜索和阅读它们 。还可以编写脚本,来扫描这些日志,并基于它们的内容去自动执行某些功能 。Linux 日志存储在 /var/log 目录中 。这里有几个由系统维护的日志文件,但其他服务和程序也可能会把它们的日志放在这里 。大多数日志只有root账户才可以读,不过修改文件的访问权限 就可以让其他人可读 。
日志文件分类
/var/log/boot.log
该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息 。
/var/log/cron
该 日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用 户、登录时间和PID,以及派生出的进程的动作 。CMD的一个动作是cron派生出一个调度进程的常见情况 。REPLACE(替换)动作记录用户对它的 cron文件的更新,该文件列出了要周期性执行的任务调度 。RELOAD动作在REPLACE动作后不久发生 , 这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存 。该文件可能会查 到一些反常的情况 。
/var/log/maillog
该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动 。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统 。下面是该日志文件的片段linuxsa命令:
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
class=0, nrcpts=1,
msgid=200209040923.g849Npp01950@redhat.pfcc.com.cn,
relay=root@localhost
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net,
ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)
/var/log/messages
该日志文件是许多进程日志文件的汇总 , 从该文件可以看出任何入侵企图或成功的入侵 。如以下几行:
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
Authentication failure
Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
fcceec.
Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
该 文件的格式是每一行包含日期、主机名、程序名 , 后面是包含PID或内核标识的方括 号、一个冒号和一个空格,最后是消息 。该文件有一个不足,就是被记录的入侵企图和成功的入侵事件 , 被淹没在大量的正常进程的记录中 。但该文件可以由 /etc/syslog文件进行定制 。由 /etc/syslog.conf配置文件决定系统如何写入/var/messages 。有关如何配置/etc/syslog.conf文件决定系统日志 记录的行为,将在后面详细叙述 。
/var/log/syslog
默 认RedHat Linux不生成该日志文件,但可以配置/etc/syslog.conf让系统生成该日志文件 。它和/etc/log/messages日志文件不同,它只记录警告信息 , 常常是系统出问题的信息,所以更应该关注该文件 。要让系统生成该日志文件,在/etc/syslog.conf文件中加上: *.warning /var/log/syslog 该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息 。下面是一条记录:
Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown
/var/log/secure
该日志文件记录与安全相关的信息 。该日志文件的部分内容如下:
Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1
Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)
Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2
/var/log/lastlog
该 日志文件记录最近成功登录的事件和最后一次不成功的登录事件,由login生成 。在每次用户登录时被查询,该文件是二进制文件,需要使用 lastlog命令查看,根据UID排序显示登录名、端口号和上次登录时间 。如果某用户从来没有登录过,就显示为"**Never logged in**" 。该命令只能以root权限执行 。简单地输入lastlog命令后就会看到类似如下的信息:
Username Port From Latest
root tty2 Tue Sep 3 08:32:270800 2002
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
news **Never logged in**
uucp **Never logged in**
operator **Never logged in**
games **Never logged in**
gopher **Never logged in**
ftp ftp UNIX Tue Sep 3 14:49:040800 2002
nobody **Never logged in**
nscd **Never logged in**
mailnull **Never logged in**
ident **Never logged in**
rpc **Never logged in**
rpcuser **Never logged in**
xfs **Never logged in**
gdm **Never logged in**
postgres **Never logged in**
apache **Never logged in**
lzy tty2 Mon Jul 15 08:50:370800 2002
suying tty2 Tue Sep 3 08:31:170800 2002
系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录 , 如果发现这些账户已经登录,就说明系统可能已经被入侵了 。若发现记录的时间不是用户上次登录的时间 , 则说明该用户的账户已经泄密了 。
/var/log/wtmp
该 日志文件永久记录每个用户登录、注销及系统的启动、停机的事件 。因此随着系统正常 运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数 。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文 件获得这些信息,并以反序从后向前显示用户的登录记录 , last也能根据用户、终端 tty或时间显示相应的记录 。
命令last有两个可选参数:
last -u 用户名 显示用户上次登录的情况 。
last -t 天数 显示指定天数之前的用户登录情况 。
/var/run/utmp
该 日志文件记录有关当前登录的每个用户的信息 。因此这个文件会随着用户登录和注销系 统而不断变化,它只保留当时联机的用户记录,不会为用户保留永久的记录 。系统中需要查询当前用户状态的程序 , 如 who、w、users、finger等就需要访问这个文件 。该日志文件并不能包括所有精确的信息,因为某些突发错误会终止用户登录会话,而系统没有及时 更新 utmp记录,因此该日志文件的记录不是百分之百值得信赖的 。
以 上提及的3个文件(/var/log/wtmp、/var/run/utmp、 /var/log/lastlog)是日志子系统的关键文件 , 都记录了用户登录的情况 。这些文件的所有记录都包含了时间戳 。这些文件是按二进制保存的 , 故 不能用less、cat之类的命令直接查看这些文件,而是需要使用相关命令通过这些文件而查看 。其中,utmp和wtmp文件的数据结构是一样的,而 lastlog文件则使用另外的数据结构,关于它们的具体的数据结构可以使用man命令查询 。
每 次有一个用户登录时,login程序在文件lastlog中查看用户的UID 。如果存在,则把用户上次登录、注销时间和主机名写到标准输出中,然后 login程序在lastlog中记录新的登录时间,打开utmp文件并插入用户的utmp记录 。该记录一直用到用户登录退出时删除 。utmp文件被各种 命令使用,包括who、w、users和finger 。
下一步,login程序打开文件wtmp附加用户的utmp记录 。当用户登录退出时 , 具有更新时间戳的同一utmp记录附加到文件中 。wtmp文件被程序last使用 。
/var/log/xferlog
该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件 。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序,以及该用户拷贝了哪些文件供他使用 。
该 文件的格式为:第一个域是日期和时间,第二个域是下载文件所花费的秒数、远程系统 名称、文件大小、本地路径名、传输类型(a:ASCII,b:二进制)、与压缩相关的标志或tar,或"_"(如果没有压缩的话)、传输方向(相对于服务 器而言:i代表进,o代表出)、访问模式(a:匿名,g:输入口令,r:真实用户)、用户名、服务名(通常是ftp)、认证方法(l:RFC931,或 0),认证用户的ID或"*" 。下面是该文件的一条记录:
Wed Sep 4 08:14:03 2002 1 UNIX 275531
/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c
/var/log/kernlog
RedHat Linux默认没有记录该日志文件 。要启用该日志文件,必须在/etc/syslog.conf文件中添加一行:kern.* /var/log/kernlog。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能 。该文件记录了系统启动时加载设备或使用设备的情况 。一般是正常的操作,但如果记录了没有授权的用户进行的这些操作 , 就要注意,因为有可能这就是恶意用户的行为 。下面是该文件的部分内容:
Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0
Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP
Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes
Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)
Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM
Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended
Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem).
Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00
/var/log/Xfree86.x.log
该 日志文件记录了X-Window启动的情况 。另外,除了/var/log/外 , 恶 意用户也可能在别的地方留下痕迹,应该注意以下几个地方:root 和其他账户的shell历史文件linuxsa命令;用户的各种邮箱 , 如.sent、mbox , 以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的邮箱;临时文件/tmp、/usr/tmp、/var/tmp;隐藏的目录;其他恶意用户创建的文件 , 通常是以 "."开头的具有隐藏属性的文件等 。
四、具体命令
wtmp和utmp文件都是二进制文件,它们不能被诸如tail之类的命令剪贴或合并(使用cat命令) 。用户需要使用who、w、users、last和ac等命令来使用这两个文件包含的信息 。
who命令
who命令查询utmp文件并报告当前登录的每个用户 。who的默认输出包括用户名、终端类型、登录日期及远程主机 。例如,键入who命令,然后按回车键,将显示如下内容:
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
如果指明了wtmp文件名,则who命令查询所有以前的记录 。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录 。
w命令
w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息 。例如,键入w命令,然后按回车键,将显示如下内容:
3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash
ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/
ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash
users命令
users命令用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话 。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数 。例如 , 键入users命令 , 然后按回车键,将显示如下内容:
chyang lewis lewis ylou ynguo ynguo
last命令
last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户 。例如:
chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)
如果指明了用户,那么last只报告该用户的近期活动,例如,键入last ynguo命令,然后按回车键,将显示如下内容:
ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1 02:12)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)
ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)
ac命令
ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间(小时) , 如果不使用标志,则报告总的时间 。例如 , 键入ac命令,然后按回车键,将显示如下内容:
total 5177.47
键入ac -d命令,然后按回车键,将显示每天的总的连接时间:
Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
Aug 17 total 104.29
Today total 179.02
键入ac -p命令,然后按回车键,将显示每个用户的总的连接时间:
ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
zjzhu 52.87
zqzhou 13.14
liangliu 24.34
total 5178.24
lastlog命令
lastlog 文件在每次有用户登录时被查询 。可以使用lastlog命令检查某特 定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog的内容 。它根据UID排序显示登录名、端口号(tty)和上次登录时间 。如果一个用户从未登录过 , lastlog显示 **Never logged** 。注意需要以root身份运行该命令,例如:
rong 5 202.38.64.187 Fri Aug 18 15:57:010800 2000
dbb **Never logged in**
xinchen **Never logged in**
pb9511 **Never logged in**
xchen 0 202.38.64.190 Sun Aug 13 10:01:220800 2000
另外,可加一些参数,例如,"last -u 102"命令将报告UID为102的用户;"last -t 7"命令表示限制为上一周的报告 。
五、进程统计
UNIX 可以跟踪每个用户运行的每条命令,如果想知道昨晚弄乱了哪些重要的文件,进 程统计子系统可以告诉linuxsa命令你 。它还对跟踪一个侵入者有帮助 。与连接时间日志不同,进程统计子系统默认不激活,它必须启动 。在Linux系统中启动进程统计使用 accton命令,必须用root身份来运行 。
accton命令的形式为:accton file,file必须事先存在 。
先使用touch命令创建pacct文件:touch /var/log/pacct,然后运行accton:accton /var/log/pacct 。一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令 。若要关闭统计,可以使用不带任何 参数的accton命令 。
lastcomm命令报告以前执行的文件 。不带参数时,lastcomm命令显示当前统计文件生命周期内记录的所有命令的有关信息 。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳 。如果系统有许多用户,输入则可能很长 。看下面的例子:
crond F root ?? 0.00 secs Sun Aug 20 00:16
promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16
promisc_check root ?? 0.01 secs Sun Aug 20 00:16
grep root ?? 0.02 secs Sun Aug 20 00:16
tail root ?? 0.01 secs Sun Aug 20 00:16
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.02 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 0.00 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 1.34 secs Sun Aug 20 00:15
locate root ttyp0 1.34 secs Sun Aug 20 00:15
accton S root ttyp0 0.00 secs Sun Aug 20 00:15
进程统计的一个问题是pacct文件可能增长得十分迅速 。这时需要交互式地或经过 cron机制运行sa命令来保证日志数据在系统控制内 。sa命令报告、清理并维护进程统计文件 。它能把/var/log/pacct中的信息压缩到摘要文 件/var/log/savacct和 /var/log/usracct中 。这些摘要包含按命令名和用户名分类的系统统计数据 。在默认情况下sa先读它们,然后读pacct文件,使报告能包含 所有的可用信息 。sa的输出有下面一些标记项 。
/var/log目录下的20个Linux日志文件功能详解 :
如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容 。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决 。
以下介绍的是20个位于/var/log/ 目录之下的日志文件 。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到 。
/var/log/messages — 包括整体系统信息,其中也包含系统启动期间的日志 。此外,mail , cron , daemon , kern和auth等内容也记录在var/log/messages日志中 。
/var/log/dmesg — 包含内核缓冲信息(kernel ring buffer) 。在系统启动时,会在屏幕上显示许多与硬件有关的信息 。可以用dmesg查看它们 。
/var/log/auth.log — 包含系统授权信息,包括用户登录和使用的权限机制等 。
/var/log/boot.log — 包含系统启动时的日志 。
/var/log/daemon.log — 包含各种系统后台守护进程日志信息 。
/var/log/dpkg.log – 包括安装或dpkg命令清除软件包的日志 。
/var/log/kern.log – 包含内核产生的日志 , 有助于在定制内核时解决问题 。
/var/log/lastlog — 记录所有用户的最近信息 。这不是一个ASCII文件,因此需要用lastlog命令查看内容 。
/var/log/maillog /var/log/mail.log — 包含来着系统运行电子邮件服务器的日志信息 。例如,sendmail日志信息就全部送到这个文件中 。
/var/log/user.log — 记录所有等级用户信息的日志 。
/var/log/Xorg.x.log — 来自X的日志信息 。
/var/log/alternatives.log – 更新替代信息都记录在这个文件中 。
/var/log/btmp – 记录所有失败登录信息 。使用last命令可以查看btmp文件 。例如 , ”last -f /var/log/btmp | more“ 。
/var/log/cups — 涉及所有打印信息的日志 。
/var/log/anaconda.log — 在安装Linux时,所有安装信息都储存在这个文件中 。
/var/log/yum.log — 包含使用yum安装的软件包信息 。
/var/log/cron — 每当cron进程开始一个工作时,就会将相关信息记录在这个文件中 。
/var/log/secure — 包含验证和授权方面信息 。例如,sshd会将所有信息记录(其中包括失败登录)在这里 。
/var/log/wtmp或/var/log/utmp — 包含登录信息 。使用wtmp可以找出谁正在登陆进入系统,谁使用命令显示这个文件或信息等 。
/var/log/faillog – 包含用户登录失败信息 。此外,错误登录命令也会记录在本文件中 。
除了上述Log文件以外, /var/log还基于系统的具体应用包含以下一些子目录:
/var/log/httpd/或/var/log/apache2 — 包含服务器access_log和error_log信息 。
/var/log/lighttpd/ — 包含light HTTPD的access_log和error_log 。
/var/log/mail/ – 这个子目录包含邮件服务器的额外日志 。
/var/log/prelink/ — 包含.so文件被prelink修改的信息 。
/var/log/audit/ — 包含被 Linux audit daemon储存的信息 。
/var/log/samba/ – 包含由samba存储的信息 。
/var/log/sa/ — 包含每日由sysstat软件包收集的sar文件 。
/var/log/sssd/ – 用于守护进程安全服务 。
除了手动存档和清除这些日志文件以外 , 还可以使用logrotate在文件达到一定大小后自动删除 。可以尝试用vi,tail , grep和less等命令查看这些日志文件 。
linux修改远程端口221 查看应有的软件是否安装
查看semanager是否安装执行下面命令:rpm -qa | grep semanager
如果没有安装执行下面命令:yum -y install policycoreutils-python
2 修改ssh配置文件
vi /etc/ssh/sshd_config
①首先把Port=22注释去掉,再把端口22更改为你想更改的端口 。
3 修改SELinux
semanage port -l | grep ssh//使用以下命令查看当前SElinux 允许的ssh端口:
( 如果没有samanager命令,yum安装:yum -y install policycoreutils-python )
4 添加20000端口到SELinux
semanage port -a -t ssh_port_t -p tcp 20000
semanage port -l | grep ssh//然后确认一下是否添加进去
如果成功会输出:
ssh_port_ttcp20000, 22
5 重启ssh服务执行下面命令:service sshd restart或者systemctl restart sshd.service
6、添加防火墙端口号
linuxsa命令的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于linux sadf、linuxsa命令的信息别忘了在本站进行查找喔 。

    推荐阅读