第6章 系统监控和备份

第6章 系统监控和备份
教学内容：
? 系统监控
? 系统日志管理
? 系统备份
教学目标：
? 了解系统监控的作用
? 熟悉系统日志的分类及作用
? 掌握系统监控、系统备份的操作方法及系统日志的配置
教学重点：
? 系统日志的配置
? 系统备份
教学难点：
? 系统日志的配置
一. 系统监控
1． 系统监控的意义
? 收集系统信息
? 分析系统的性能
? 优化系统性能
2． 监控的对象
? CPU
? 内存
? I/O设备
3．系统监控的相关命令
（1）top
功能：监视系统整体信息，包括CPU、内存及进程信息
格式：#top [选项]
选项：
-d 指定每两次屏幕信息刷新之间的时间间隔。
-p 通过指定监控进程ID来仅仅监控某个进程的状态。
-u 指定用户名/UID，用来监视指定的用户进程
Top交互命令：
k 终止指定的进程
r 改变进程的优先级
s 改变刷新间隔
q 退出top程序
实例：#top
（2）uptime
功能：显示系统运行的时间、最近的负载平均数
实例：#uptime
7:51pm up 2 days, 5:43, 2 users, load average: 8.13, 5.90, 4.94
说明：
? 系统平均负载被定义为在特定时间间隔内运行队列中的平均进程数
? 一般来说只要每个CPU的当前活动进程数不大于3那么系统的性能就是良好的，如果每个CPU的任务数大于5，那么就表示这台机器的性能有严重问题
（3）free
功能：监视系统内存使用情况
实例：#free
（4）vmstat
功能：显示CPU、内存及虚拟内存的使用情况
格式：#vmstat [参数] [延时［次数］]
参数：-d ：显示磁盘状态信息（适用于2.5以上的内核）
-n　：第一次信息只显示一次，不周期显示
实例：#vmstat
-------procs -----------------memory---------------swap-- -----io---- --system-- ----cpu----
r b swpd free buff cache si so bi bo in cs us sy id wa
0 0 0 1672 29032 108664 0 0 66 16 1012 259 2 7 87 3

输出结果说明：
Procs
r:等待运行的进程数
b: 被资源阻塞(I/0,页面调度,等等)的进程数
Memory
swpd: 虚拟内存使用情况
free: 空闲内存使用情况
buff: 作为缓存的内存数
cache:作为cache的内存数.
Swap
si: 从磁盘交换到内存的交换页数量 (/s).
so: 从内存交换到磁盘的交换页数量 (/s).
IO
bi: 发送块设备的块数 (blocks/s).
bo: 从块设备接收的块数 (blocks/s).
System
in:每秒的中断数.
cs: 每秒环境的切换次数
CPU
us: CPU的用户使用时间
sy: CPU的系统使用时间
id: CPU的空闲时间
wa: CPU的等待时间
评价准则：
? 如果 r经常大于 4 ，且id经常少于40，表示cpu的负载较重
? 如果si，so 长期不等于0，且free长期为0，表示内存不足。

（5）mpstat
功能：显示CPU的状态信息（安装软件sysstat才mpstat命令）
格式：mpstat [参数]
参数：-P cpu编号/ALL 显示指定CPU的状态信息
实例：#mpstat
#mpstat –P 0
（6）sar
功能：一种综合性能测试工具，可以监视CPU、内存及硬盘等设备（安装软件sysstat才mpstat命令）
格式：sar [选项] [-A] [-o file] 采样间隔 [采样次数]
选项：
-A：所有报告的总和。
-u：CPU利用率
-d：硬盘使用报告。
-r：内存信息。
-b：报告I/O及传输速率。
-c：系统调用情况。
实例：# sar
#sar –u 5 5
#sar –d
注意：在运行sar之前，必须运行sa1、sa2和sysstat
（7）iostat
功能：报告CPU使用和I/O设备传输情况
格式：iostat [选项] [间隔 [次数]]
选项：-c 只报告CPU状态信息
-d 只报告I/O设备传输情况
-k 以KB为单位报告I/O设备传输情况
实例：#iostat
#iostat –c
（8）demsg
功能：报告系统启动时检测信息
实例：#dmesg
（9）hdparm
功能：显示磁盘信息和设置磁盘参数
格式：hdparm <选项> <磁盘设备文件>
选项：
-i:显示设备参数
-c:16/32位传输开关
-d:DMA模式开关
-X:传输模式
-u:屏蔽中断
实例：#hdparm -i /dev/hda
#hdparm -d 1 /dev/had
二．系统日志管理
1．日志的作用
? 记录系统正常的或不正常的运行信息,有助分析系统的状况和监视系统的活动
? 发现试图攻击系统安全的重复举动
? 跟踪那些想要越权的用户
? 跟踪异常的使用模式
? 实时跟踪侵入者
2．日志的种类
（1） 连接时间日志
说明：由多个程序执行，使系统管理员能跟踪谁在何时登录进入系统。
文件：/var/wtmp（记录用户登录和退出记录，可利用last/lastlog命令显示日志 ）
/var/run/utmp （记录当前的用户登录信息，可利用who/w/users查看日志）
（2）内核和启动日志
说明：由系统内核执行，记录启动和内核的实时日志。
文件：/var/log/dmesg（内核信息记录文件）
/var/log/boot.log（记录启动检测信息）
（3）系统事件日志
说明：各种系统守护程序、用户程序和内核通过syslogd记录状态信息
文件：/var/log/messages 和/var/log/syslog
另外有许多UNIX程序创建日志。像HTTP 或FTP 这样提供网络服务的服务器也保持详细的日志。
3．Syslogd的配置
Syslogd是一种系统服务，主要用于系统日志记录。
#vi /etc/syslogd.conf
文件格式：
服务名称.信息等级 记录动作
说明：
（1）服务名称
auth 认证系统：login、su、getty等，即询问用户名和口令
authpriv 同LOG_AUTH，但只登录到所选择的单个用户可读的文件中
cron cron守护进程
daemon　其他系统守护进程
kern 内核产生的消息
lpr 打印机系统

：lpr、lpd
mail 电子邮件系统
news 网络新闻系统
syslog 由syslogd产生的内部消息
user 随机用户进程产生的消息
uucp UUCP子系统
local0~local7　为本地使用保留
（2）信息等级
info: 一些提示信息资料
notice: 需要您注意的信息；
warn或者waring： 警告信息；
error或者err: 错误信息。
crit： 很严重的错误，到达临界点
alert: 警告！相当严重的错误；
emerg或者panic：系统混乱；
debug: 将显示很多信息
none: 什么信息也不记录。
（3）记录动作
文件名：把信息记入指定的文件中
@主机名/IP地址：把消息发送给指定的日志服务器
用户名，……：传送给指定的用户
*：把信息传送当前登录的用户
配置文件实例：
mail.* /var/log/maillog
*.emerg *
*.alert root,admin
kern.* /dev/console
*.info:mail.none;authpriv.none /var/log/messages
4．管理系统日志
（1）logrotate的介绍
系统日志文件是无限大的，为了将日志文件分为多个文件，Linux系统引用logrotate软件进行管理，logrotate软件包括以下主要文件：
? /etc/logrotate.conf：logrotate的核心配置文件
? /usr/sbin/logrotate：logrotate的可执行程序
? /etc/cron.daily/logrotate：自动运行脚本
（2）logrotate的配置
#vi /etc/logrotate.conf
文件内容：
weekly
rotate 4
create
include /etc/logrotate.d
/var/log/wtmp {
monthly
Create 0644 root umtp
rotate 1
}
说明：
? compress 压缩日志文件的所有非当前版本
? daily,weekly,monthly 指定轮换日志间隔
? missingok 如果日志不存在，不会发出抱怨
? delaycompress 压缩最近之外的所有版本
? endscript 标记prerotate或postrotate脚本结束
? erros mail 向指定的mail报告错误
? notifempty 日志为空则不转换
? postrotate 轮换日志后则运行的脚本
? prerotate 轮换日志前要运行的脚本
? rotate n 轮换方案中的版本数
? sharedscripts 只为日志组运行一次的脚本
? size=logsize 如果日志文件大于logsize才轮换
实例：
Rotate 5
Weekly
include /etc/logrotate.d
/var/log/.mesages{
postrotate
/bin/kill –HuP `cat /var/run/syslogd.pid`
endscript
}
三. 系统备份
1. tar备份
功能：为文件或目录创建备份
格式：tar [参数] 文件/目录名
参数： -t：列出压缩包中的文件（*.tar）
-x：解压缩（*.tar）
-z：使用gzip的压缩文件
-c：创建压缩包
-f：指定文件名
-j：使用bzip的压缩文件
-v：显示操作信息
-C：指定解压路径（默认路径为当前路径）
-r： 向压缩包添加文件
-u：更新压缩包中的文件
-k：还原文件过程中，遇到相同文件不覆盖
-m：还原文件过程中，修改文件的时间为当前时间
--delet

e：从压缩包中删除文件
实例：
# tar -cvf all.tar *.jpg
# tar -uvf all.tar logo.gif
# tar -rf all.tar *.gif
# tar -cvfz etc.tar.gz /etc
#tar -xvf all.tar
# tar -xzvf etc.tar.gz -C /soft
#tar -f etc.tar --delete etc/grub.conf
#tar -rvf etc.tar /boot/grub/grub.conf
2．dump
功能：备份文件ext2/ext3系统
格式：dump <选项> <-f 备份设备> <备份的文件系统>
选项：
-u:让dump备份后更新/etc/dumpdates
-f:通知dump输出发送到别处
-0-9：备份等级（0 表示 0 级或基本级备份。这是完全系统备份，您要定期执行以保存整个系统。对于后续的备份，您可以使用其他数字（1-9）来代替 0，以改变备份级别）
实例：
#dump -0f /bak/bootbak /boot
3. restore
功能：还原dump的备份
格式：restore <选项> 备份设备
选项：
-f 指定文件
-i 允许备份的交互恢复，恢复方式中有几个命令
-r 在全新格式化分区重建数据
-t 列出备份中的文件名
-x 提取指定的文件
实例：
#restore –rf /bak/bak1
#restore –xf /bak/bak1 ./boot/message
#restore -if /bak/bak1
4. cpio
功能：备份标准的输入输出内容
格式：cpio <选项> 文件名
选项：
-A 添加到档案末尾，与-F密切相关
-F 指定档案文件名，可以换成反向箭头>
-i 从档案文件或设备读取
-o 复制到档案文件或者设备
-u 替换所有文件，使其更新
实例：
#find / -name '*.tif' | cpio -o > /bak/bak2.cpio