AIX系统日志

AIX系统日志说明

1、系统错误日志

存放路径：/var/adm/ras/errlog

说明：该日志记录了系统所检测到的软硬件故障和错误，尤其对系统的硬件故障有很大的参考价值，是AIX提供的最有价值的日志之一， errlog 文件用more或者其他文本的查看命令来打开我们看到的只是一对乱码，为了能够查看错误日志文件需要使用aix的errpt命令，如：errpt 列信息；errpt –a列详细信息，详细使用方法可以参考man，

2、用户的登录日志

存放路径：/var/adm/wtmp /var/adm/sulog

说明：这些日志记录了用户登录和访问服务器的情况信息，具体的日志文件有wtmp、、sulog等，它们记录的分别是不同的事件，wtmp记录的是历史的login和lognout信息，可以用last命令访问。sulog记录的是用户用su命令转变为另一用户的信息。who、last等这些命令可以查看wtmp和sulog的内容 如：Last –f wtmp

我们想查看最近10次登录的用户和他们的地址，可以用如下命令： last -10

3、用户的失败登录日志

存放路径：/etc/security/failedlogin

说明：这些日志记录了用户登录和访问服务器失败的情况信息，登录失败的情况单独记录在该日志中，可以用who命令来查看。

4、集群管理软件hacmp的日志

存放路径：/tmp/hacmp.out

说明：HACMP是IBM提供的确保系统运行可靠性的集群套件，HACMP在每次启动和关闭时都要经历一段时间以停止服务和转换文件系统，我们可以通过对HACMP。OUT日志文件的跟踪实时的了解HACMP在启动和关闭时的信息，如出现启动失败则可以帮助我们定位错误。

可以使用tail进行跟踪，tail –f /tmp/hacmp.out

5、系统启动错误日志

存放路径：/var/adm/ras/bootlog

说明：该日志可以跟踪系统在Boot过程中发生的问题，包括服务器液晶板上的代码信息都有记载。可以使用alog命令监视这些问题, 存放在/var/adm/ras/bootlog中，可以使用alog –o –t boot命令查看该文件。

6、FTP用户操作日志

存放路径：自定义（建议/tmp/ftplog.out）

说明：很多服务器都会用到FTP功能，大量的用户通过FTP登陆到服务器上给系统的安全性带来了很大的问题，AIX给我们提供了一套很不错的可以记录用户FTP操作情况的日志。

具体设置步骤如下：

在/etc/inetd.conf文件中编辑 FTP 一行，在FTPD后加“-d”

重启服务： refresh –s inetd

touch /tmp/ftplog.out

在/etc/syslog.conf文件中加上两行：

daemon:debug /tmp/ftplog.out

daemon:info /tmp/ftplog.out

重启服务： refresh –s syslogd

7、crontab执行情况日志

存放路径：/var/adm/cron/log

说明：主要是查看各用户crontab执行情况的日志。 名称 系统错误日志 存放路径 说明 备份频率 备注 每日 /var/adm/ras/errlog 日志记录了系统所检测到的软硬件故障和错误，尤其对系统的硬件故障有很大的参考价值 /var/adm/wtmp 日志记录了用户登录和访问服务/var/adm/sulog 器的情况信息，具体的日志文件有wtmp、、sulog等，它们记录的分别是不同的事件，wtmp记录的是历史的login和lognout信息，可以用last命令访问。sulog记录的是用户用su命令转变为另一用户的信息。 /etc/security/failedlogin /var/adm/ras/bootlog 自定义（建议/tmp/ftplog.out） /tmp/hacmp.out 记录用户失败的登录信息，是二进制文件，用who 命令来阅读其内容 该日志可以跟踪系统在Boot过程中发生的问题，包括服务器液晶板上的代码信息都有记载。 可以记录用户FTP操作情况的日志。 HACMP是IBM提供的确保系统运行可靠性的集群套件，HACMP在每次启动和关闭时都要经历一段时间以停止服务和转换文件系统，我们可以通过对HACMP.OUT日志文件的跟踪实时的了解HACMP在启动和关闭时的信息，如出现启动失败则可以帮助我们定位错误。 用户登录日志 每日 用户登录失败日志 系统启动错误日志 FTP用户操作日志 集群管理软件日志 每日 每周 每周 每周 Crontab执行情况日志 /var/adm/cron/log 主要是查看各用户crontab执行情况的日志。 每周

aix的日志系统总结

----------------------参考的 于宁斌《AIX 5L系统管理技术》 日志系统工作流程介绍

1．一旦系统的某个功能模块检测到一个错误或定义的需要记录日志的事件，则记录到/dev/error设备，把它保存在NVRAM中，这样可以保证即使在系统崩溃的情况下也不会丢失最新的错误日志。

2．同时，错误日志进程errdemon从/dev/error文件中读取错误日志，然后根据错误模版库（/var/adm/ras/errtmpit）和错误消息库（/usr/lib/nls/msg/＄LANGcodepoint.cat）对其进行处理后写入系统的错误日志/var/adm/ras/errlog中。

错误日志进程由/usr/lib/errdemon命令启动，/usr/lib/errstop停止，默认是启动的。 errdemon进程：

从/dev/error逻辑设备文件中读取纪录，然后在系统错误日志中创建错误日志纪录，显然这才是重点。

Errdemon的配置：

/usr/lib/errdemon 命令可以启动errdemon进程，同样我们也可以通过使用参数来修改我们的errdemon,显然如果我们不是太了解还是系统初始的配置更适合我们！ 例如：

/usr/lib/errdemon –s 20000 设定我们的日志文件大小为20000bytes 最可能用到的可能就是-l参数了 /usr/lib/errdemon –l # /usr/lib/errdemon -l Error Log Attributes

-------------------------------------------- Log File /var/adm/ras/errlog Log Size 1048576 bytes

Memory Buffer Size 16384 bytes Duplicate Removal true

Duplicate Interval 100 milliseconds Duplicate Error Maximum 1000

上面显示我的错误日志文件是/var/adm/ras/errlog，这也是系统默认的错误日志的存放位置。

具体其他的参数可以参看man 手册。

使用方法大概介绍：

查看错误日志:errpt命令

用more或者其他文本的查看命令来打开errlog文件我们看到的只是一对乱码，为了能够查看错误日志文件需要使用aix的errpt命令。

使用errpt命令查看日志,可能根据使用的参数来确定输出什么样的日志，甚至排序的方式，这是使用纯文本的日志不能做到的，或者说不能轻易做到的。 下面我们来看errpt命令的使用。