如何收集服务器系统日志
A. 备份服务器信息收集
收集NBU软件信息 nbsu_info
C:\Program Files\Veritas\NetBackup\bin\support\nbsu.exe -s DEV_scsi_reg -s NBU_nbdb_info -s
收集进程状态信息 NBU_bpps
C:\Program Files\Veritas\NetBackup\bin\bpps
备份存储单元状态 NBU_bpstulist
C:\Program Files\Veritas\netbackup\bin\admincmd\bpstulist -g -U
磁带使用状态 NBU_available_media
C:\Program Files\Veritas\NetBackup\Bin\goodies\available_media -a
客户端信息 NBU_bpplclients
C:\Program Files\Veritas\NetBackup\Bin\admincmd\bpplclients -allunique -U
备份作业检查 NBU_backup_status
C:\Program Files\Veritas\NetBackup\Bin\admincmd\bperror -U -backstat
linux下巡检命令
[root@nbuserver ~]# /usr/openv/netbackup/bin/bpps -a
[root@nbuserver ~]# /usr/openv/netbackup/bin/admincmd/bpstulist -L
[root@nbuserver ~]# /usr/openv/netbackup/bin/admincmd/bpplclients -allunique -U
[root@nbuserver ~]# /usr/openv/netbackup/bin/admincmd/bpdbjobs -L
[root@nbuserver ~]# /usr/openv/netbackup/bin/admincmd/bperror -backstat -hoursago 72 –L
日志文件收集执行命令 /usr/openv/netbackup/bin/support/nbsu -c -t
启动NetBackup图形界面
/usr/openv/netbackup/bin/jnbSA &
可做alias如下所示
oracle@nbumaster:~> cat /etc/bash.bashrc | grep ^alias
alias nbu='/usr/openv/netbackup/bin/jnbSA &'
NetBackup故障后,日志收集
nbumaster:~ # /usr/openv/netbackup/bin/support/nbsu
日志存放点:/usr/openv/netbackup/bin/support/output/nbsu
以及收集如下日志:
3. Display NetBackup status and troubleshooting information or entries from NetBackup error catalog
Unix/Linux
/usr/openv/netbackup/bin/admincmd/bperror -all -hoursago 72 -verbose -U > /tmp/bperror_all.txt
/usr/openv/netbackup/bin/admincmd/bperror -backstat -hoursago 72 -verbose -U > /tmp/bperror_backstat.txt
/usr/openv/netbackup/bin/admincmd/bperror -problems -hoursago 72 -verbose -U > /tmp/bperror_problems.txt
/usr/openv/netbackup/bin/admincmd/bperror -media -hoursago 72 -verbose -U > /tmp/bperror_media.txt
/usr/openv/netbackup/bin/admincmd/bperror -tape -hoursago 72 -verbose -U > /tmp/bperror_tape.txt
3、磁带立即过期
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/bpexpdate -m media_id -d 0
4、查看所有磁带使用情况,条形码为media id
nbumaster:~ # /usr/openv/netbackup/bin/goodies/available_media
5、查看磁带过期时间
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/bpmedialist -U
6、查看nbu的版本
nbumaster:~ # cat /usr/openv/netbackup/version
HARDWARE LINUX_SUSE_X86
VERSION NetBackup 7.0.0
RELEASEDATE Thu Jul 08 01:22:07 CDT 2010
BUILDNUMBER 20100707
或
nbumaster:~ # more /usr/openv/netbackup/bin/version
NetBackup-SuSE2.6.16 7.0.1
7、查看驱动器的状态,是否处于正常的TLD状态还是ACTIVE,或者不正常的AVR状态
nbumaster:~ # /usr/openv/volmgr/bin/vmoprcmd
8、查看驱动器是否需要清洗
nbumaster:~ # /usr/openv/volmgr/bin/tpclean -L
Drive Name Type Mount Time Frequency Last Cleaned Comment
********** **** ********** ********* **************** *******
HP.ULTRIUM4-SCSI.000 hcart* 4231.6 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.001 hcart* 798.4 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.002 hcart* 645.0 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.003 hcart* 642.3 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.004 hcart* 2340.8 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.005 hcart* 646.2 0 N/A NEEDS CLEANING
HP.ULTRIUM4-SCSI.006 hcart* 14.9 0 N/A
HP.ULTRIUM4-SCSI.007 hcart* 17.4 0 N/A
HP.ULTRIUM4-SCSI.008 hcart* 10.0 0 N/A
HP.ULTRIUM4-SCSI.009 hcart* 22.1 0 N/A
9、扫描本机所有的机械手和驱动器
nbumaster:~ #/usr/openv/volmgr/bin/scan
************************************************************
*********************** SDT_TAPE ************************
*********************** SDT_CHANGER ************************
************************************************************
------------------------------------------------------------
Device Name : "/dev/sg30" //机械手
Passthru Name: "/dev/sg30"
Volume Header: ""
Port: -1; Bus: -1; Target: -1; LUN: -1
Inquiry : "ADIC Scalar i2000 650Q"
Vendor ID : "ADIC "
Proct ID : "Scalar i2000 "
Proct Rev: "650Q"
Serial Number: "ADIC273100135_LL0"
WWN : ""
WWN Id Type : 0
Device Identifier: "ADIC 273100135_LL0 "
Device Type : SDT_CHANGER //机械手
NetBackup Robot Type: 8
Removable : Yes
Device Supports: SCSI-3
Number of Drives : 10
Number of Slots : 684
Number of Media Access Ports: 24 //10个驱动器
Drive 1 Serial Number : "HU10159TD2"
Drive 2 Serial Number : "HU10109851"
Drive 3 Serial Number : "HU10159TC8"
Drive 4 Serial Number : "HU10038GVG"
Drive 5 Serial Number : "HU10109839"
Drive 6 Serial Number : "HU101098DU"
Drive 7 Serial Number : "HU10159TCV"
Drive 8 Serial Number : "HU1010983B"
Drive 9 Serial Number : "MXP1226LMC"
Drive 10 Serial Number : "HU10159TAP"
10、手动尝试抓取机械手,可验证机械手是否正常,该操作可在nbu服务未启动时候就可执行
以下表明机械手找不到
nbumaster:/usr/openv/volmgr/misc # /usr/openv/volmgr/bin/robtest
Configured robots with local control supporting test utilities:
TLD(0) robotic path = /dev/sg8
Robot Selection
---------------
1) TLD 0
2) none/quit
Enter choice: 1
Robot selected: TLD(0) robotic path = /dev/sg8
Invoking robotic test utility:
/usr/openv/volmgr/bin/tldtest -rn 0 -r /dev/sg8
Opening /dev/sg8
Error opening /dev/sg8, No such device or address
Robotic test utility /usr/openv/volmgr/bin/tldtest
returned abnormal exit status (1).
11、查看磁带驱动器及robot(机械手)细节情况
nbumaster:~ # /usr/openv/volmgr/bin/tpconfig -d 亦可使用tpconfig -dl或tpconfig -l,显示的信息是不一样的
Id DriveName Type Residence
Drive Path Status
****************************************************************************
0 HP.ULTRIUM4-SCSI.000 hcart TLD(0) DRIVE=10
/dev/nst5 UP
1 HP.ULTRIUM4-SCSI.001 hcart TLD(0) DRIVE=9
/dev/nst6 UP
2 HP.ULTRIUM4-SCSI.002 hcart TLD(0) DRIVE=8
/dev/nst9 UP
Currently defined robotics are:
TLD(0) robotic path = /dev/sg30
EMM Server = nbumaster
可使用如下命令查看驱动器和机械手的相关信息
(Display device configuration)
tpconfig -d
tpconfig -dl
tpconfig -l
另/usr/openv/volmgr/bin/tpconfig 提供add ,delete,list NBU可以识别并使用的物理设备,如
机械手/dev/sg30的符号在操作系统更改后,可通过tpconfig来进行更改
12、查看nbu进程情况,一般使用bpps -x
nbumaster:~ # /usr/openv/netbackup/bin/bpps -列出nbu服务运行的进程
-a 在列表中包括介质管理器进程
-x 在列表中包括介质管理器进程和其他共享进程
13、查看操作系统是否认识到机械手
nbumaster:~ # cat /proc/scsi/scsi 可搜索关键字Medium
Host: scsi1 Channel: 00 Id: 01 Lun: 02
Vendor: ADIC Model: Scalar i2000 Rev: 605A
Type: Medium Changer ANSI SCSI revision: 03
lsscsi和cat /proc/scsi/scsi其实是一样的
nbumaster:~ # lsscsi
[0:0:0:0] disk SEAGATE ST9146803SS FS62 -
[0:0:1:0] disk SEAGATE ST9146803SS FS62 -
[0:1:2:0] disk LSILOGIC Logical Volume 3000 /dev/sda
[1:0:0:0] storage QUANTUM Scalar i6000 650Q -
[1:0:0:2] mediumx ADIC Scalar i2000 650Q -
14、如何重启nbu服务
正常情况只需要
nbumaster:~ # /usr/openv/netbackup/bin/bp.kill_all
nbumaster:~ # /usr/openv/netbackup/bin/bpps -x
nbumaster:~ # /usr/openv/netbackup/bin/bp.start_all
如果以上重启nbu方式不行,则采用如下方式
How to restart services
On NetBackup Master Server
1) Stop the NetBackup Services.
nbumaster:~ # /usr/openv/netbackup/bin/bp.kill_all
If the NetBackup services did not stop completely,please stop the process by using the kill command.
nbumaster:~ # /usr/openv/netbackup/bin/bpps -x
Remove cache files
nbumaster:~ # cd /usr/openv/var
nbumaster:~ # ls -lh
nbumaster:~ # rm /usr/openv/var/*.ior
nbumaster:~ # rm /usr/openv/var/*.ior.mgr
nbumaster:~ # cd /usr/openv/volmgr/misc 若有lock文件,可删除
nbumaster:~ # ls -lh
2)stop vxpbx services.
nbumaster:~ # /opt/VRTSpbx/bin/vxpbx_exchanged stop
On NetBackup Master Server
1) start the vxpbx Services.
nbumaster:~ # /opt/VRTSpbx/bin/vxpbx_exchanged start
2) art the NetBackup Services.
nbumaster:~ # /usr/openv/netbackup/bin/bp.start_all
15、cannot connect to robotic software daemon报错
这个错误是因为nbu在关闭的时候某些LOCK文件没有被完全删除造成的,可以使用下面的步骤重启后解决
A. Shut down all the VERITAS NetBackup (tm) daemons:
#/usr/openv/netbackup/bin/goodies/netbackup stop
B. Verify all NetBackup daemons are down by running the command:
#/usr/openv/netbackup/bin/bpps –a
Do not proceed until all NetBackup processes are down. (Remember to exit from the GUI interface.)if remain process if JAVA REF. you can use the “kill -9” command to kill them.
C. cd /usr/openv/volmgr/misc/
D. Delete the lock files (*lock*) that exist in this directory
E. Restart the NetBackup daemons:
#/usr/openv/netbackup/bin/goodies/netbackup start
16、bpexpdate过期磁带,报”requested media id is in use”错误解决办法
如果你确认这个media并没有在使用,可以手工释放这个media占用的资源
首先使用/usr/openv/netbackup/bin/admincmd/nbrbutil -mp命令得到磁带占用资源的id
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/nbrbutil -mp
Allocation Requests
(AllocationRequestSeq )
MDS allocations in EMM:
MdsAllocation: allocationKey=91666 jobType=1 mediaKey=4000261 mediaId=YZ5350 driveKey=2000012 driveName=HP.ULTRIUM4-SCSI.004 drivePath=/dev/nst0 stuName=nbumaster-hcart-robot-tld-0 masterServerName=nbumaster mediaServerName=nbumaster ndmpTapeServerName= diskVolumeKey=0 mountKey=0 linkKey=0 fatPipeKey=0 scsiResType=1 serverStateFlags=1
MdsAllocation: allocationKey=91667 jobType=1 mediaKey=4000264 mediaId=YZ5353 driveKey=2000008 driveName=HP.ULTRIUM4-SCSI.000 drivePath=/dev/nst5 stuName=nbumaster-hcart-robot-tld-0 masterServerName=nbumaster mediaServerName=nbumaster ndmpTapeServerName= diskVolumeKey=0 mountKey=0 linkKey=0 fatPipeKey=0 scsiResType=1 serverStateFlags=1
nbumaster:~ #
然后使用/usr/openv/netbackup/bin/admincmd/nbrbutil –releaseMDS 即上面的“allocationKey=”后面相应的数值,来释放资源
这样我们便能成功执行bpexpdate命令
17、查询目前有哪些磁带正在被哪个驱动器调用,以及正在运行哪些备份任务
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/nbrbutil -mp
18、列出所有的job的明细
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/bpdbjobs
将bpdbjobs输出到/tmp/bpdbjobs.txt文件中
bpdbjobs -file /tmp/bpdbjobs.txt
列出所有作业的摘要,可查看目前正处于ACTIVE的任务有多少个
nbumaster:~ # /usr/openv/netbackup/bin/admincmd/bpdbjobs -summary
MASTER SERVER QUEUED REQUEUED ACTIVE SUCCESS PARTSUCC FAILED INCOMP SUSP WAITING_RETRY TOTAL
nbumaster 0 0 5 1320 0 43 0 0 0 1368
仅供参考
B. 如何配置日志服务器来接收系统日志
在运行中输入(services.msc)回车,会看到本地服务的框线,tab一次就是列表: 01.显示名称:alerter ◎进程名称:svchost.exe -k LocalService ◎微软描述:通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。 ◎补充描述:警报器。该服务进程名为Services.exe,一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrativealerts),除非你的计算机用在局域网络上。 ◎默认:禁用 建议:禁用 02.显示名称:Application Layer Gateway Service ◎进程名称:alg.exe -k Local Service ◎微软描述:为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。 ◎补充描述:XP SP2自带的防火墙,如果不用可以关掉。 ◎默认:手动(已启动) 建议:禁用 03.显示名称:Application Management ◎进程名称:svchost.exe -k netsvcs ◎微软描述:提供软件安装服务,诸如分派,发行以及删除。 ◎ 补充描述:应用程序管理。从Windows2000开始引入的一种基于msi文件格式的全新有效软件管理方案:程序管理组件服务。该服务不仅可以管理软件的安装、删除,还可以使用此服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等,软件安装变更的服务。 ◎默认:手动 建议:手动 04.显示名称:Automatic Updates ◎进程名称:svchost.exe -k netsvcs ◎微软描述:允许下载并安装 Windows 更新。如果此服务被禁用,计算机将不能使用 Windows Update 网站的自动更新功能。 ◎补充描述:自动更新,手动就行,需要的时候打开,没必要随时开着。 不过2005年4月12日以后微软将对没有安装SP2的WindowsXP操作系统强制安装系统补丁SP2。 ◎默认:自动 建议:手动 05.显示名称:Background Intelligent Transfer Service ◎进程名称:svchost.exe -k netsvcs ◎微软描述:在后台传输客户端和服务器之间的数据。如果禁用了 BITS,一些功能,如 Windows Update,就无法正常运行。 ◎补充描述:经由HTTP1.1在背景传输资料的东西,例如 Windows Update 就是以此为工作之一。这个服务原是用来实现http1.1服务器之间的信息传输,微软称支持windows更新时断点续传。 ◎默认:手动 建议:手动 06.显示名称:ClipBook ◎进程名称:clipsrv.exe ◎微软描述:启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止,“剪贴簿查看器” 将无法与远程计算机共享信息。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎补充描述:剪贴簿。把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到。 ◎默认:禁用 建议:禁用 07.显示名称:COM+ Event System ◎进程名称:svchost.exe -k netsvcs ◎微软描述:支持系统事件通知服务(SENS),此服务为订阅组件对象模型(COM) 组件事件提供自动分布功能。如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务将无法启动。 ◎补充描述:COM+ 事件系统。有些程序可能用到 COM+ 组件,如自己的系统优化工具BootVis。检查系统盘的目录“C:\Program Files\ComPlus Applications”,没东西可以把这个服务关闭。 ◎默认:手动(已启动) 建议:手动 08.显示名称:COM+ System Application ◎进程名称:dllhost.exe /Processid: ◎微软描述:管理 基于COM+ 组件的配置和跟踪。如果服务停止,大多数基于COM+ 组件将不能正常工作。如果本服务被禁用,任何明确依赖它的服务都将不能启动。 ◎ 补充描述:如果 COM+ Event System 是一台车,那么 COM+ SystemApplication 就是司机,如事件检视器内显示的 DCOM 没有启用,则会导致一些 COM+软件无法正常运行。检查系统盘的目录“C:\Program Files\ComPlus Applications”,没东西可以把这个服务关闭。 ◎默认:手动 建议:手动 09.显示名称:Computer Browser ◎进程名称:svchost.exe -k netsvcs ◎微软描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 ◎补充描述:计算机浏览器。一般家庭用计算机不需要,除非你的计算机应用在局域网之上。 ◎默认:自动 建议:手动 10.显示名称:Cryptographic Services ◎进程名称:svchost.exe -k netsvcs ◎ 微软描述:提供三种管理服务: 编录数据库服务,它确定 Windows 文件的签字; 受保护的根服务,它从此计算机添加和删除受信根证书机构的证书;和密钥(Key)服务,它帮助注册此计算机获取证书。如果此服务被终止,这些管理服务将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎补充描述:简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证服务,例如你使用 Automatic Updates,升级驱动程序,你就会需要这个。 ◎默认:自动 建议:自动 11.显示名称:DCOM Server Process Launcher ◎进程名称:svchost -k DcomLaunch ◎微软描述:为 DCOM 服务提供加载功能。 ◎补充描述:SP2新增的服务,DCOM(分布式组件对象模式),关闭这个服务会造成很多手动服务无法在需要的时候自动启动,很麻烦。 关闭这个服务还有以下现象:比如一些软件无法正常安装,flashmx ,还有些打印机的驱动无法安装,都提示错误“RPC服务器不可用”。 ◎默认:自动 建议:自动 12.显示名称:DHCP Client ◎进程名称:svchost.exe -k netsvcs ◎微软描述:通过注册和更改 IP 地址以及 DNS 名称来管理网络配置。 ◎补充描述:DHCP 客户端。没有固定IP的的用户还是开着吧,否则上不了网,特别是小区光纤用户。 ◎默认:自动 建议:手动 13.显示名称:Distributed Link Tracking Client ◎进程名称:svchost.exe -k netsvcs ◎微软描述:在计算机内 NTFS 文件之间保持链接或在网络域中的计算机之间保持链接。 ◎补充描述:分布式连结追踪客户端。用于局域网更新连接信息,比如在电脑A有个文件,在B做了个连接,如果文件移动了,这个服务将会更新信息。对于绝大多数用户来说,形同虚设,可以关闭,特殊用户除外。占用4兆内存。 ◎默认:自动 建议:手动 14.显示名称:Distributed Transaction Coordinator ◎进程名称:msdtc.exe ◎微软描述:协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务,则不会发生这些事务。如果禁用此服务,显式依赖此服务的其他服务将无法启动。 ◎补充描述:分布式交换协调器。一般家庭用计算机用不太到,除非你启用的Message Queuing。 ◎默认:手动 建议:手动 15.显示名称:DNS Client ◎进程名称:svchost.exe -k NetworkService ◎微软描述:为此计算机解析和缓冲域名系统 (DNS) 名称。如果此服务被停止,计算机将不能解析 DNS 名称并定位 Active Directory 域控制器。如果此服务被禁用,任何明确依赖它的服务将不能启动。 ◎补充描述:DNS 客户端。另外IPSEC需要用到。DNS解析服务。事实上,一个网站并不是只有一台服务器在工作,基于安全性考虑,停止。 ◎默认:自动 建议:自动 16.显示名称:Error Reporting Service ◎进程名称:svchost.exe -k netsvcs ◎微软描述:服务和应用程序在非标准环境下运行时允许错误报告。 ◎补充描述:微软的应用程序错误报告服务,对于大多数用户来说也没什么用处。这个服务每当在在使用微软的软件时如果发生了错误,系统会自动将错误代码作为一个备份文件,并且询问你是否要把文件发送至微软以寻求帮助?由于普通用户与微软总部联系的机会实在是很少. ◎默认:自动 建议:禁用 17.显示名称:Event Log ◎进程名称:services.exe ◎微软描述:启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。 ◎补充描述:事件查看器。允许事件讯息显示在事件检视器之上。 ◎默认:自动 建议:自动 18.显示名称:Fast User Switching Compatibility ◎进程名称:svchost.exe -k netsvcs ◎微软描述:为在多用户下需要协助的应用程序提供管理。 ◎补充描述:另外像是注销画面中的切换使用者功能,一般建议采用默认手动,否则可能很多功能实现。如果你基于安全性考虑,并且不使用多用户环境,可以停止。 ◎默认:手动(已启动) 建议:手动 19.显示名称:Help and Support ◎进程名称:svchost.exe -k netsvcs ◎微软描述:启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。 ◎补充描述:如果不使用就关了吧,现实中证明没有多少人需要它,除非有特别需求,否则建议停用。 ◎默认:自动 建议:手动 20.显示名称:HTTP SSL ◎进程名称:svchost.exe -k HTTPFilter ◎微软描述:此服务通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎补充描述:SP2新增的服务,默认就是手动,实际使用中也没见它启动过,就不要管它了! ◎默认:手动 建议:手动 21.显示名称:Human Interface Device Access ◎进程名称:svchost.exe -k netsvcs ◎微软描述:启用对智能界面设备 (HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设 备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎补充描述:如果没有什么HID装置,可以停用。比如键盘上调音量的按钮就属于智能界面设备。 ◎默认:禁用 建议:禁用 22.显示名称:IMAPI CD-Burning COM Service ◎进程名称:imapi.exe ◎微软描述:用 Image Mastering Applications Programming Interface(IMAPI) 管理 CD 录制。如果停止该服务,这台计算机将无法录制 CD。如果该服务被停用,任何依靠它的服务都无法启动。 ◎补充描述:XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快Nero的开启速度,如果习惯使用第三方软件或者根本没有刻录机,那就停用。占用1.6兆内存。 ◎默认:手动 建议:禁用 23.显示名称:Indexing Service ◎进程名称:cisvc.exe ◎微软描述:本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。 ◎补充描述:索引服务。简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧,除非特殊工作。 ◎默认:手动 建议:手动 24.显示名称:Internet Connection - Firewall (ICF) / Sharing (ICS) ◎进程名称:svchost.exe ◎微软描述:为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。 ◎补充描述:在SP2中已经被Windows Firewall/Internet Connection Sharing (ICS)取代。 ◎默认:手动 建议:手动 25.显示名称:IPSEC Services ◎进程名称: lsass.exe ◎微软描述:管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 ◎补充描述:IP 安全性服务。协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的,可停止。 ◎默认:自动 建议:手动 26.显示名称:Logical Disk Manager ◎进程名称:svchost.exe -k netsvcs ◎微软描述:监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎ 补充描述:逻辑磁盘管理员。磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能,该服务对于经常使用移动硬盘、闪盘等外设的用户必不可少,根据具体情况。改为手动后需要时它会通知你。 ◎默认:自动 建议:自动 27.显示名称:Logical Disk Manager Administrative Service ◎进程名称:dmadmin.exe /com ◎微软描述:配置硬盘驱动器和卷。此服务只为配置处理运行,然后终止。 ◎补充描述:逻辑磁盘管理员系统管理服务。使用 Microsoft Management Console(MMC)主控台的功能时才用到。磁盘管理服务。需要时它会通知你,所以一般手动。 ◎默认:手动 ?建议:手动 28.显示名称:Machine Debug Manager Service ◎进程名称:mdm.exe ◎微软描述:支持对 Visual Studio 和脚本调试器进行本地和远程调试。如果该服务停止,调试器将不能正常工作。 ◎补充描述:对于开发人员使用的脚本调试器,一般不需要。 ◎默认:手动 建议:手动 29.显示名称:Messenger ◎进程名称:svchost.exe -k netsvcs ◎微软描述:传输客户端和服务器之间的 NET SEND 和 alerter 服务消息。此服务与 Windows Messenger 无关。如果服务停止,alerter 消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 ◎补充描述:信使服务。允许网络之间互相传送提示信息的功能,net send 功能,如不想被骚扰话可关了。 ◎默认:禁用 建议:禁用 30.显示名称:MS Software Shadow Copy Provider ◎进程名称:dllhost.exe /Processid: ◎微软描述:管理卷影复制服务拍摄的软件卷影复制。如果该服务被停止,软件卷影复制将无法管理。如果该服务被停用,任何依赖它的服务将无法启动。 ◎补充描述:如上所说的,用来备份的东西,如 MS Backup 程序就需要这个服务,但是大多数人用不到这个功能。 ◎默认:手动 建议:手动 31.显示名称:Net Logon ◎进程名称:lsass.exe ◎微软描述:支持网络上计算机 pass-through 帐户登录身份验证事件。 ◎补充描述:一般家用计算机不太可能去用到登入网络审查这个服务。登陆Domain Controller用的,大众用户快关。如果要使用网内的域服务器登录到域时,启动。 ◎默认:手动 ?建议:手动 32.显示名称:NetMeeting Remote Desktop Sharing ◎进程名称:mnmsrvc.exe ◎微软描述:使授权用户能够通过使用 NetMeeting 跨企业 intranet 远程访问此计算机。如果此服务被停用,远程桌面服务将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎补充描述:NetMeeting 远程桌面共享。让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者,用NetMeeting实现电脑共享。 如果你重视安全性,就关。如果你需要用到远程桌面求助或帮助别人就别动。 ◎默认:手动 建议:手动 33.显示名称:Network Connections ◎进程名称:svchost.exe -k netsvcs ◎微软描述:管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。 ◎补充描述:网络连接。控制你的网络连接,因特网、局域网要用的东东。关了就看不见网络连接了,不过需要的时候可以随时打开,不影响上网! ◎默认:手动(已启动) 建议:手动 34.显示名称:Network DDE ◎进程名称:netdde.exe ◎微软描述:为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE) 的网络传输和安全。如果此服务被终止, DDE 传输和安全将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎补充描述:网络 DDE。一般人好像用不到。 ◎默认:禁用 建议:禁用 35.显示名称:Network DDE DSDM ◎进程名称:netdde.exe ◎微软描述:管理动态数据交换 (DDE) 网络共享。如果此服务终止,DDE 网络共享将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎补充描述:网络 DDE DSDM。一般好像用不到。 ◎默认:禁用 建议:禁用 36.显示名称:Network Location Awareness (NLA) ◎进程名称:svchost.exe -k netsvcs ◎微软描述:收集并保存网络配置和位置信息,并在信息改动时通知应用程序。 ◎补充描述:如果不使用ICF和ICS可以关了它。如有网络共享或ICS/ICF可能需要(服务器端)。对于移动办公用户,启动。 ◎默认:手动(已启动) 建议:手动 37.显示名称:Network Provisioning Service ◎进程名称:svchost.exe -k netsvcs ◎微软描述:为自动网络提供管理基于域的 XML 配置文件。 ◎补充描述: ◎默认:手动 建议:手动 38.显示名称:NT LM Security Support Provider ◎进程名称:lsass.exe ◎微软描述:为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。 ◎补充描述:NTLM 安全性支持提供者。如果不使用 Message Queuing 或是Telnet Server 那就关了它,一般用户也用不上。 ◎默认:手动 建议:手动 39.显示名称:Performance Logs and alerts ◎进程名称:smlogsvc.exe ◎微软描述:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。如果此服务被终止,将不会收集性能信息。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎补充描述:性能记录文件及警示。记录机器运行状况而且定时写入日志或发警告,内容比较专业, 可以不用。 ◎默认:手动 建议:手动 40.显示名称:Plug and Play ◎进程名称:services.exe ◎微软描述:使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。 ◎补充描述:即插即用。顾名思义就是 PNP 环境,一般计算机中都需要PNP环境的支持,所以不要关闭。 ◎默认:自动 建议:自动 41.显示名称:Portable Media Serial Number Service ◎进程名称:svchost.exe -k netsvcs ◎ 微软描述:Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device. ◎补充描述:WmdmPmSN(便携的媒体序号服务)。获得系统中媒体播放器的序列号,用于控制盗版音乐文件复制到便携播放器上,如MP3、MD等。该服务进程名为Svchost.exe。 ◎默认:手动 建议:手动 42.显示名称:Print Spooler ◎进程名称:spoolsv.exe ◎微软描述:将文件加载到内存中以便迟后打印。 ◎补充描述:打印多任务缓冲处理器。可以优化打印,对于打印功能有一定的帮助,如果根本没有打印机,可以关了。 ◎默认:自动 ◎建议:手动 43.显示名称:Protected Storage ◎进程名称:lsass.exe ◎微软描述:提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务,过程或用户对其的非法访问。 ◎补充描述:受保护的存放装置。用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序、主从架构等等。视具体使用环境而定,在不安全的环境下建议停止。 ◎默认:自动 建议:手动 44.显示名称:QoS RSVP ◎进程名称:rsvp.exe ◎微软描述:为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。 ◎补充描述:QoS 许可控制,RSVP。用来保留 20% 带宽的服务,如果你的网卡不支持802.1p 或在你计算机的网络上没有 ACS server,那就不用多说了,关了它。 ◎默认:手动 建议:手动 45.显示名称:Remote Access Auto Connection Manager ◎进程名称:svchost.exe -k netsvcs ◎微软描述:无论什么时候当某个程序引用一个远程 DNS 或 NetBIOS 名或者地址就创建一个到远程网络的连接。 ◎补充描述:如果你的机器提供网络共享服务就启动它,以避免网络断线后手动连接,否则停止。 ◎默认:手动 建议:手动 46.显示名称:Remote Access Connection Manager ◎进程名称:svchost.exe -k netsvcs ◎微软描述:创建网络连接。 ◎补充描述:根据具体情况而定。 ◎默认:手动 建议:手动 47.显示名称:Remote Desktop Help Session Manager ◎进程名称:sessmgr.exe ◎微软描述:管理并控制远程协助。如果此服务被终止,远程协助将不可用。终止此服务前,请参见“属性”对话框上的“依存”选项卡。 ◎补充描述:远程桌面协助服务,用于管理和控制远程协助,,对于普通用户来说,用处不大,可以关闭。占用4兆内存。 ◎默认:手动 建议:手动 48.显示名称:Remote Procere Call (RPC) ◎进程名称:svchost -k rpcss ◎微软描述:提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。 ◎补充描述:远程过程调用。系统级服务,别去动它! ◎默认:自动 建议:自动 49.显示名称:Remote Procere Call (RPC) Locator ◎进程名称:locator.exe ◎微软描述:管理 RPC 名称服务数据库。 ◎补充描述:远程过程调用定位程序。在一般计算机上很少用到,没什么特殊要求,可以尝试关了。 ◎默认:手动 建议:手动 50.显示名称:Remote Registry ◎进程名称:svchost.exe -k LocalService ◎微软描述:使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎补充描述:远程登录注册表服务。允许远程用户在权限许可的情况下登录本机并修改注册表设置。一般而言,这项服务是很少用到的,而且给自己的计算机增加了不必要的危险,因此也把它设为禁止。 ◎默认:自动 建议:禁用 51.显示名称:Removable Storage ◎进程名称:svchost.exe -k netsvcs ◎微软描述:无 ◎补充描述:卸除式存放装置。除非你有 Zip 磁盘驱动器或是 USB 之类移动式的硬件或是 Tape备份装置,不然可以尝试关了,现在的这方面的设备很多,建议保留。 ◎默认:手动 建议:手动 52.显示名称:Routing and Remote Access ◎进程名称:svchost.exe -k netsvcs ◎微软描述:在局域网以及广域网环境中为企业提供路由服务。 ◎补充描述:路由和远程访问提供拨号联机到网络或是 VPN 服务,一般用户用不到,可以关闭。 ◎默认:禁用 建议:禁用 53.显示名称:Secondary Logon ◎进程名称:svchost.exe -k netsvcs ◎微软描述:启用替换凭据下的启用进程。如果此服务被终止,此类型登录访问将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 ◎ 补充描述:Seclogon(二次登录服务)。在多用户使用的计算机上,某些用户因为是非管理员权限,导致某些程序无法执行。为了让没有管理员权限的已登录用户可以使用这个程序,WindowsXP设计了这个功能来分配临时的管理员权限。该服务进程名为svchost.exe。基于安全性考虑,停止。 ◎默认:自动 建议:手动 54.显示名称:Security Accounts Manager ◎进程名称:lsass.exe ◎微软描述:存储本地用户帐户的安全信息。 ◎补充描述:安全性账户管理员。管理账号和群组原则(gpedit.msc)应用。 ◎默认:自动 建议:自动 55.显示名称:Security Center ◎进程名称:svchost.exe -k netsvcs ◎微软描述:监视系统安全设置和配置。 ◎补充描述:SP2的安全中心。 ◎默认:自动 建议:禁用
C. 如何查看服务器系统日志
这些日志信息对计算机犯罪调查人员非常有用。
所谓日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成.每条日志记录描述了一次单独的系统事件。通常情况下,系统日志
是用户可以直接阅读的文本文件,其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,这对系统监控、查询、报表和安全审汁是十分重要的。日志文件中的记录可提供以下用途:监控系统资源,审汁用户行为,对可疑行为进行报警,确定入侵行为的范围,为恢复系统提供帮助,生成调查报告,为打击计算机犯罪提供证据来源。
在windows操作系统中有一位系统运行状况的忠实记录者,它可以详细记录计算机从开机、运行到关机过程中发生的每一个事件,它就是“事件查看器”。用户可以利用这个系统维护工具,收集有关硬件、软件、系统问题方面的信息,并监视系统安全事件,将系统和其他应用程序运行中的错误或警告事件记录下来,便于诊断和纠正系统发生的错误和问题。
可以双击“控制面板”中“管理工具”中的“事件查看器”,打开事件查看器窗口
D. 如何收集 HP ProLiant 系列服务器iLo日志,iLO出厂默认配置。不可以重启机器
接路由上 可以看到ILO的ip
否则需要自己开DHCP服务
访问可以直接用IP 或者是ILO的名字
比如一般是 ILO********** //*部分是你的序列号
用户名一般是administrator
密码是附带的吊牌上的
忘记密码需要拨机箱里面的那一组小开关。具体需要看说明书。能重置ILO的密码
ILO4实测没问题。
E. 怎么查看linux服务器系统日志
last
-a 把从何处登入系统的主机名称或ip地址,显示在最后一行。
-d 指定记录文件。指定记录文件。将IP地址转换成主机名称。
-f <记录文件> 指定记录文件。
-n <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息
以下看所有的重启、关机记录
last | grep rebootlast | grep shutdown
history
列出所有的历史记录:
[zzs@Linux] # history
只列出最近10条记录:
[zzs@linux] # history 10 (注,history和10中间有空格)
使用命令记录号码执行命令,执行历史清单中的第99条命令
[zzs@linux] #!99 (!和99中间没有空格)
重复执行上一个命令
[zzs@linux] #!!
执行最后一次以rpm开头的命令(!? ?代表的是字符串,这个String可以随便输,Shell会从最后一条历史命令向前搜索,最先匹配的一条命令将会得到执行。)
[zzs@linux] #!rpm
逐屏列出所有的历史记录:
[zzs@linux]# history | more
立即清空history当前所有历史命令的记录
[zzs@linux] #history -c
cat, tail 和 watch
系统所有的日志都在 /var/log 下面自己看(具体用途可以自己查,附录列出一些常用的日志)
cat /var/log/syslog 等
cat /var/log/*.log
tail -f
如果日志在更新,如何实时查看 tail -f /var/log/messages
还可以使用 watch -d -n 1 cat /var/log/messages
-d表示高亮不同的地方,-n表示多少秒刷新一次。
该指令,不会直接返回命令行,而是实时打印日志文件中新增加的内容,
这一特性,对于查看日志是非常有效的。如果想终止输出,按 Ctrl+C 即可。
除此之外还有more,less,dmesg|more,这里就不作一一列举了,因为命令太多了,关键看个人喜好和业务需求.个人常用的就是以上那些.《Linux就该这么学》一起学习linux
linux日志文件说明
/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件
F. filebeat+elasticsearch+logstash+kibana收集系统日志(docker)
我们这里用到的是 filebeat+elk(elasticsearch+logstash+kibana) 来进行系统日志的收集。filebeat安装在各个服务器中,Logstash+ElasticSearch+Kibana安装在一台专门用于基础服务的服务器上。
Filebeat是一个轻量级的托运人,用于转发和集中日志数据. Filebeat作为代理安装在服务器上,监视您指定的日志文件或位置,收集日志事件,并将它们转发到 ElasticSearch 或 Logstash 进行索引.
官方中文文档: https://s0www0elastic0co.i.site/guide/en/beats/filebeat/current/index.html
Logstash是一个开源的服务器端数据处理管道,可以同时从多个数据源获取数据,并对其进行转换,然后将其发送到你最喜欢的“存储”。
官方中文文档: https://s0www0elastic0co.i.site/guide/en/logstash/current/index.html
Elasticsearch 是一个开源的搜索引擎,建立在一个全文搜索引擎库 Apache Lucene™ 基础之上。Lucene 可以说是当下最先进、高性能、全功能的搜索引擎库--无论是开源还是私有。
官方中文文档: https://s0www0elastic0co.i.site/guide/en/elasticsearch/reference/current/index.html
《Elasticsearch:权威指南》: https://www.elastic.co/guide/cn/elasticsearch/guide/current/index.html
Kibana 是一款开源的数据分析和可视化平台,它是 Elastic Stack 成员之一,设计用于和 Elasticsearch 协作。您可以使用 Kibana 对 Elasticsearch 索引中的数据进行搜索、查看、交互操作。您可以很方便的利用图表、表格及地图对数据进行多元化的分析和呈现。
官方中文文档: https://www.elastic.co/guide/cn/kibana/current/index.html
nginx.conf中设置日志文件格式:
修改完成后,通过 sudo nginx -t 来检查配置文件是否正确,然后 sudo nginx -s reload 来重启
filebeat各系统安装教程详见官方文档。
我这里安装的deb包(rpm包也同样),配置文件在 /etc/filebeat/filebeat.yml ,
filebeat命令:
参数介绍:
在/usr/local/文件夹下依次创建logstash/conf.d/logstash.conf
grok正则在线验证地址: http://grokdebug.herokuapp.com
正则代表的含义: https://github.com/elastic/logstash/blob/v1.4.2/patterns/grok-patterns
配置成功后,执行如下命令重启docker中的logstash (有时会重启失败,多试几次吧)
在浏览器中输入 http://ip:5601 进入kibana
然后如下设置
然后创建 index pattern
然后选择@timestamp
最后在Discover标签页就可以看到了
G. 用linu日志服务器如何收集类似于windows下的windows日志、应用程序日志和服务日志
我觉得用系统备份工具备份,然后通过磁盘映射复制到linux环境中,在tar出来如何。
H. Win系统日志查看方法介绍
如何查看Windows 2003系统日志
Windows日志文件记录着Windows系统运行的每一个细节, 对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志,管理员可以及时找出服务器出现故障的原因。
一般情况下,网管都是在本地查看日志记录,由于目前的局域网规模都比较大,因此网管不可能每天都呆在服务器旁。一旦远离服务器,网管
就很难及时了解到服务器系统的运行状况,维护工作便会受到影响。现在,利用Windows Server 2003(简称Windows 2003)提供的Web访问接口功能就可解决这个问题,让网管能够远程查看Windows 2003服务器的日志记录。
远程查看Windows 2003服务器的日志记录非常简单。在远程客户端(可采用Windows 98/2000/XP/2003系统),运行IE浏览器, 在地址栏中输入“https://Win2003服务器IP地址:8098”,如“https://192.168.0.1:8098”。在弹出的`登录对话框中输入管理员的用户名和密码,点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接,切换到“维护”管理页面,然后点击“日志”链接,进入到日志管理页面。在日志管理页面中,管理员可以查看、下载或清除Windows 2003服务器日志。
在日志管理页面中可列出Windows 2003服务器的所有日志分类,如应用程序日志、安全日志、系统日志、Web管理日志等。
查看某类日志记录非常简单,笔者以查看Web管理志为例,点击“Web管理日志”链接,进入日志查看页面,在日志文件列表框中选中要查
看的日志文件,然后点击右侧的“查看日志”按钮,就能浏览Web管理日志记录中的详细内容了。
清除某个日志文件也很简单,选中该日志文件后,点击“清除”按钮即可。如果你觉得远程查看日志不方便,想在本 地机器中进行查看,这时你 可以将日志文件下载到本地硬盘。选中某个日志文件,然后点击“下载日志”按钮,在弹出的“文件下载”对话框中点击“保存”按钮并指定存放路径即可。
I. 如何查看服务器系统日志
服务器系统日志是记载着服务器每时每刻的信息的一个数据库,上面记载着的一些信息对于我们了解服务器的运行状况都有很大的帮助。 查看方法:登陆服务器后进入控制面板—管理工具—事件查看器日志按照内容被分为三类,双击每条日志即可查看详情。 应用程序:主要是记载服务器上面软件程序运行方面的一些事件。 安全性:主要是记载服务器用户登录的情况。 系统:主要是记载服务器系统程序运行状况。 下面分别举例介绍: 应用程序日志 这个事例记录的是用户数据库服务登陆失败的信息。 安全性日志这是记载用户通过远程登陆服务器的日志,包括用户名以及登陆服务器时客户端的ip地址,当您怀疑服务器被人登陆时在这里可以查实。 系统日志这个日志记载了iis运行过程中的一个事件,当您的网站无法访问时在这里可以了解iis的工作状态。 以上只是各举了一个例子,更多的内容需要您在实际使用中总结。