Linux服务器日志管理详解(4)

　　进程统计的一个问题是pacct文件可能增长的十分迅速。这时需要交互式的或经过cron机制运行sa命令来保持日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。sa缺省情况下先读它们，然后读pacct文件，使报告能包含所有的可用信息。sa的输出有下面一些标记项：

　　avio--每次执行的平均I/O操作次数

　　cp--用户和系统时间总和，以分钟计

　　cpu--和cp一样

　　k--内核使用的平均CPU时间，以1k为单位

　　k*sec--CPU存储完整性，以1k-core秒

　　re--实时时间，以分钟计

　　s--系统时间，以分钟计

　　tio--I/O操作的总数

　　u--用户时间，以分钟计

　　例如：

　　842 173.26re4.30cp 0avio 358k

　　2 10.98re 4.06cp 0avio 299k find

　　9 24.80re 0.05cp 0avio 291k ***other

　　105 30.44re 0.03cp 0avio 302k ping

　　104 30.55re 0.03cp 0avio 394k sh

　　162 0.11re 0.03cp 0avio 413k security.sh*

　　154 0.03re 0.02cp 0avio 273k ls

　　56 31.61re 0.02cp 0avio 823k ping6.pl*

　　2 3.23re 0.02cp 0avio 822k ping6.pl

　　35 0.02re 0.01cp 0avio 257k md5sum

　　97 0.02re 0.01cp 0avio 263k initlog

　　12 0.19re 0.01cp 0avio 399k promisc_check.s

　　15 0.09re 0.00cp 0avio 288k grep

　　11 0.08re 0.00cp 0avio 332k awk

　　用户还可以根据用户而不是命令来提供一个摘要报告。例如sa -m显示如下：

　　885 173.28re4.31cp 0avk

　　root879 173.23re4.31cp 0avk

　　alias 3 0.05re 0.00cp 0avk

　　qmailp 3 0.01re 0.00cp 0avk

　　Syslog设备

　　Syslog已被许多日志函数采纳，它用在许多保护措施中--任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。

　　Syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日之中出现）。

　　每个syslog消息被赋予下面的主要设备之一：

　　LOG_AUTH--认证系统：login、su、getty等

　　LOG_AUTHPRIV--同LOG_AUTH，但只登录到所选择的单个用户可读的文件中

　　LOG_CRON--cron守护进程

　　LOG_DAEMON--其他系统守护进程，如routed

　　LOG_FTP--文件传输协议：ftpd、tftpd

　　LOG_KERN--内核产生的消息

　　LOG_LPR--系统打印机缓冲池：lpr、lpd

　　LOG_MAIL--电子邮件系统

　　LOG_NEWS--网络新闻系统

　　LOG_SYSLOG--由syslogd（8）产生的内部消息

　　LOG_USER--随机用户进程产生的消息

　　LOG_UUCP--UUCP子系统

　　LOG_LOCAL0~LOG_LOCAL7--为本地使用保留

　　Syslog为每个事件赋予几个不同的优先级：

　　LOG_EMERG--紧急情况

　　LOG_ALERT--应该被立即改正的问题，如系统数据库破坏

　　LOG_CRIT--重要情况，如硬盘错误

　　LOG_ERR--错误

　　LOG_WARNING--警告信息

　　LOG_NOTICE--不是错误情况，但是可能需要处理

　　LOG_INFO--情报信息

　　LOG_DEBUG--包含情报的信息，通常旨在调试一个程序时使用