当前位置: 澳门新濠3559 > 操作系统 > 正文

恢复/var/log/messages就很重要了,/var/log/message 系统

时间:2019-11-28 21:09来源:操作系统
先使用 systemctl status服务名称,查看服务运行状态,注意红色字体的错误信息,比如权限不够(关闭selinux试试),端口被占用(netstat-tunlp | grep 端口号); 若仍然无法解决问题,查看
  1. 先使用 systemctl status 服务名称,查看服务运行状态,注意红色字体的错误信息,比如权限不够(关闭selinux试试),端口被占用(netstat -tunlp | grep 端口号);
  2. 若仍然无法解决问题,查看Linux系统的日志文件/var/log/messages,再配合grep查看相应信息

linux是一个以文件为基础的操作系统,当主机被入侵,hack一定会把日志文件删除,但是极少有黑客会把你的主机关机。恢复/var/log/messages就很重要了。由于linux需要不停的记录日志,所以守护进程已将/var/log/messages加载到了内存。我们通过查看内存就能恢复该文件。以下是步骤。
1、查看/var/log/messages
[root@bogon ~]# ll /var/log/messages
-rw——-. 1 root root 3705 Jul 2 07:46 /var/log/messages

CentOS常用查看日志命令

cat
tail -f

日 志 文 件 说 明
/var/log/message 系统启动后的信息和错误日志,是Red HatLinux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息

系统:
# uname -a # 查看内核/操作系统/CPU信息
# cat /etc/issue
# cat /etc/redhat-release # 查看操作系统版本
# cat /proc/cpuinfo # 查看CPU信息
#恢复/var/log/messages就很重要了,/var/log/message 系统启动后的信息和错误日志。 hostname # 查看计算机名
# lspci -tv # 列出所有PCI设备
# lsusb -tv # 列出所有USB设备
# lsmod # 列出加载的内核模块
# env # 查看环境变量
资源:
# free -m # 查看内存使用量和交换区使用量
# df -h # 查看各分区使用情况
# du -sh <目录名> # 查看指定目录的大小
# grep MemTotal /proc/meminfo # 查看内存总量
# grep MemFree /proc/meminfo # 查看空闲内存量
# uptime # 查看系统运行时间、用户数、负载
# cat /proc/loadavg # 查看系统负载
磁盘和分区:
# mount | column -t # 查看挂接的分区状态
# fdisk -l # 查看所有分区
# swapon -s # 查看所有交换分区
# hdparm -i /dev/hda # 查看磁盘参数(仅适用于IDE设备)
# dmesg | grep IDE # 查看启动时IDE设备检测状况
网络:
# ifconfig # 查看所有网络接口的属性
# iptables -L # 查看防火墙设置
# route -n # 查看路由表
# netstat -lntp # 查看所有监听端口
# netstat -antp # 查看所有已经建立的连接
# netstat -s # 查看网络统计信息
进程:
# ps -ef # 查看所有进程
# top # 实时显示进程状态(另一篇文章里面有详细的介绍)
用户:
# w # 查看活动用户
# id <用户名> # 查看指定用户信息
# last # 查看用户登录日志
# cut -d: -f1 /etc/passwd # 查看系统所有用户
# cut -d: -f1 /etc/group # 查看系统所有组
# crontab -l # 查看当前用户的计划任务
服务:
# chkconfig –list # 列出所有系统服务
# chkconfig –list | grep on # 列出所有启动的系统服务
程序:
# rpm -qa # 查看所有安装的软件包

cat tail -f 日 志 文 件 说 明 /var/log/message 系统启动后的信息和错误日志,是Red HatLinux中最常用的日志之一 /var/log/se...

![](https://images2018.cnblogs.com/blog/1118205/201803/1118205-20180328173758003-2062439215.png)

![](https://images2018.cnblogs.com/blog/1118205/201803/1118205-20180328173801002-496371938.png)

从上图可以发现,http服务的配置文件/etc/httpd/conf/httpd.conf的第118行有错误。

lsof命令是一个查看所有打开文件的命令,这里查看到了该文件
[root@bogon ~]# lsof | grep /var/log/messages
rsyslogd 1683 root 1w REG 8,2 3705 133861 /var/log/messages
这里列出了进程好为1683的进程rsyslogd在内存中使用该文件

   

2、将/var/log/messages删除
[root@bogon ~]# rm /var/log/messages
rm: remove regular file `/var/log/messages’? y
[root@bogon ~]# ll /var/log/messages
ls: cannot access /var/log/messages: No such file or directory
[root@bogon ~]#
**[root@bogon ~]# lsof | grep messages
rsyslogd 1683 root 1w REG 8,2 5085 133861 /var/log/messages (deleted)**
这里我们看到了该文件已经被标志已经删除。

总结一下:服务报错一脸懵逼?cat一下/var/log/messages吧~~~(来自一个小白白的经验)

3、其实该文件还没有被删除,在/proc中还存有副本,通过此可以找回。
[root@bogon fd]# ll
total 0
lrwx——. 1 root root 64 Jul 2 07:58 0 -> socket:[12351]
l-wx——. 1 root root 64 Jul 2 07:58 1 -> /var/log/messages (deleted)
l-wx——. 1 root root 64 Jul 2 07:58 2 -> /var/log/cron
lr-x——. 1 root root 64 Jul 2 07:58 3 -> /proc/kmsg
l-wx——. 1 root root 64 Jul 2 07:58 4 -> /var/log/maillog
l-wx——. 1 root root 64 Jul 2 07:58 5 -> /var/log/secure

PS:多半是服务配置文件有问题,,,

通过重定向/proc/1683/fd/1 即可恢复文件

 

4、恢复文件
]#
[root@bogon fd]# cat /proc/1683/fd/1 > /var/log/messages
此时文件恢复完成

编辑:操作系统 本文来源:恢复/var/log/messages就很重要了,/var/log/message 系统

关键词: