AIX logging

复杂度2/5
机密度3/5

最后更新2021/05/15

AIX有很多log，不同的东西（程序）会log到不同的地方，这是有历史的操作系统无法避免的问题，太杂，太乱，有了新机制又要学，旧log又没法简单放弃或者改变。

• 经由alog管理（查看）的log可以用alog -L命令查看种类：

#alog -L
 boot                      <-------------boot的信息
 bosinst                 <-------------软件安装的信息
 nim                       <-------------nim操作的信息
 console                <-------------主控台的信息
 cfg                       <-------------设备驱动配置（包括cfgmgr）的信息
 dumpsymp           <-------------dump的信息

查看：

#alog -o -t boot      <-------------产看boot的信息，boot可以换为其它类型

• error log，通过errpt命令查看。error log的大小固定，循环使用，如果error log信息过多，则最早的信息会被新的信息覆盖。使用下面命令可以更改大小：

/usr/lib/errdemon -s 40960000

• syslog，由syslogd管理，log文件和内容在/etc/syslog.conf中定义，文件用cat可查看
  例如以下在syslog.conf中的定义表示：
  mail的debug信息保存在/var/adm/maillog中
  auth的信息保存在/var/adm/authlog中
  。。。
  其它未特别说明的emerg,alert,crit,warning级别的log都记录，保存到/var/adm/messages文件中，此文件会有4个，循环使用，每个文件包含7天的信息，并且会对文件进行压缩。

#cat /etc/syslog.conf
mail.debug                                              /var/adm/maillog
mail.none                                               /var/adm/maillog
auth.notice                                             /var/adm/authlog
lpr.debug                                               /var/adm/lpd-errs
kern.debug                                              /var/adm/messages
*.emerg;*.alert;*.crit;*.warning /var/adm/messages  rotate files 4 time 7d compress

log文件控制参数：

size s  其中s可以是KB或MB, 定了了文件最大长度（按大小切换）
time t  其中t确定log循环切换的频度，t后可以跟h, d, w, m, or y表示hours, days, weeks, months, or years
files n 表示最多保留n个log文件
compress 表示切换成offline的log文件会被压缩以节省空间
archive path表示切换offline的log文件的归档保存路径

例如：

mail.debug   /var/log/mail  rotate size 500m files 4		# maintain 4 files, 500M each
user.debug   /var/log/user  rotate files 12 time 7d		# 12 files, daily rotate
kern.debug   /var/log/kern  rotate files 12 time 7d compress	# 12 files, monthly rotate, compress 

errorlog支持将最新error信息发送到syslog，通过下面的操作可以完成这个功能，首先要编辑一个为odmadd准备的文本文件，例如：

#cat err2syslog.add
    errnotify:
    en_pid = 0
    en_name = "syslog"
    en_persistenceflg = 1
    en_crcid = 0
    en_method = "errpt -l $1 | tail -1 | logger -t errpt -p daemon.notice"

然后将这段信息加到odm中：

#odmadd errd2syslogd.add

• /var/adm/wtmp 账户登录信息，通过last命令查看
• /var/adm/pacct 最后执行的命令信息，通过lastcomm命令查看（可能需要先执行/usr/sbin/acct/startup以开启对执行命令进行记录）
• /var/adm/sulog 用户执行su命令的log，cat即可查看

# cat /var/adm/sulog
SU 07/08 10:57 + pts/0 root-root
SU 07/11 12:44 + pts/0 root-nobody
SU 07/25 16:37 + pts/5 dcoca-root
SU 09/11 10:21 + pts/1 mrj1-root

• 用户执行命令历史，在ksh可以通过fc命令查看。历史文件保存在HISTFILE环境变量定义的位置，缺省是：$HOME/.sh_history
  如果使用其它shell，需要参考对应shell的设置

• /etc/shutdown.log，执行shutdown命令后，也就是关机过程的log，cat即可查看

# cat /etc/shutdown.log
Sun Nov 30 11:45:31 CST 2008
shutdown:  THE SYSTEM IS BEING SHUT DOWN NOW

User(s) currently logged in:
 root

Stopping some active subsystems...

0513-044 The syslogd Subsystem was requested to stop.
0513-044 The hostmibd Subsystem was requested to stop.
0513-044 The snmpmibd Subsystem was requested to stop.
...

Unmounting the file systems...

/download unmounted successfully.
...
umount: 0506-349 Cannot unmount /dev/hd3: The requested resource is busy.

Bringing down network interfaces:

detached en0 from the network interface list
detached lo0 from the network interface list

• Audit log，audit log的配置比较复杂，但可以对系统进行非常精细的管理，包括哪些文件被打开，谁做了什么操作等等，但对要记录的事件要进行配置，具体可参考AIX audit sysbystem，以后有时间将专题介绍
• HMC log，此log不在AIX上，要通过HMC查看，主要记录硬件信息