linux服务器异常日志

服务器数据恢复环境：

某品牌服务器中有4块SAS硬盘组建了一组RAID5阵列，另外1块磁盘作为热备盘使用。上层操作系统为redhat linux，部署了一个数据库是oracle的OA。

服务器故障&初检：

RAID5中一块磁盘离线后热备盘未自动激活rebuild，之后另外一块磁盘离线，RAID5阵列崩溃。因为oracle已经不再对服务器中部署的oa提供后续支持，用户联系我们数据恢复中心要求恢复数据和复原操作系统。

将故障服务器中所有磁盘编号后取出，由硬件工程师对所有磁盘进行检测。经过检测发现热备盘根本没有启用，不存在物理故障，无明显同步表现。

服务器数据恢复&操作系统复原过程：

1、将故障服务器中所有磁盘以只读方式做完整镜像，镜像过程中发现后离线的磁盘有十几个坏扇区，其余磁盘均没有发现有坏道。镜像完成后将所有磁盘按照编号还原到原服务器中，后续的数据分析和数据恢复都基于镜像文件进行，避免对原始磁盘数据造成二次破坏。

2、基于镜像文件分析RAID5结构信息，获取到盘序，块大小，backward parity(Adaptec)等RAID相关信息。

北亚企安数据恢复——raid5数据恢复

3、根据上一步获取到的RAID相关信息虚拟重组RAID并验证数据，发现200M以上的压缩包解压无报错，确定结构正确。

4、按照此RAID结构生成虚拟RAID到一块单硬盘上，打开文件系统没有发现明显报错。

5、得到用户授权后在原盘重建RAID（重建时已经用全新硬盘更换发现坏道的后离线磁盘）。

6、将恢复好的单盘用USB方式接入故障服务器，用linux SystemRescueCd启动故障服务器，然后使用dd命令全盘回写。

7、回写完成后启动操作系统，但是无法进入系统，报错信息为：/etc/rc.d/rc.sysinit:Line 1:/sbin/pidof:Permission denied。

8、怀疑此文件权限有问题，用SystemRescueCd重启后检查，此文件时间，权限，大小均有明显错误，显然是节点损坏导致的错误。

9、重新分析重组数据中的根分区，定位出错的/sbin/pidof，发现错误是由后离线的那块磁盘上的坏道所引起。

10、使用完好的3块盘对后离线的那块盘的损坏区域进行xor补齐。补齐后重新校验文件系统仍然出现错误。再次检查inode表，发现后离线磁盘损坏区域有部分节点表现异常。

北亚企安数据恢复——raid5数据恢复

虽然节点中描述的uid正常存在，但属性，大小和最初的分配块都是错误的。按照所有可能进行分析，但是没有找到方法找回此损坏节点。只能试图修复此节点或复制一个相同的文件过来。

11、针对所有可能存在错误的文件，北亚企安数据恢复工程师通过日志确定原节点块的节点信息，然后做修正。

12、修正后重新dd根分区，执行fsck -fn /dev/sda5依然报错。

北亚企安数据恢复——raid5数据恢复

根据报错信息，北亚企安数据恢复工程师在系统中发现有多个节点共用同样的数据块。按此提示分析底层，发现存在节点信息的新旧交集。

13、按照节点所属的文件进行区分，清除错误节点后再次执行fsck -fn /dev/sda5，依然有少量报错。根据报错信息，发现这些节点多位于doc目录下，不影响系统启动，于是直接执行fsck -fy /dev/sda5强行修复。

14、修复完成后重启系统，成功进入系统桌面。

15、启动oracle数据库服务，启动OA，一切正常无报错。

16、由用户方对恢复的操作系统和数据（OA和oracle数据库）进行检测，经过用户方多方检测，确认恢复数据完整有效。本次数据恢复工作完成。

蒙亚旭1838suse linux 13.2 我那个系统里面没查看错误日志 -
孔馥鬼17549072737 ______ 日志服务器:1、编辑/etc/sysconfig/syslog:SYSLOGD_OPTIONS=＂-m 0＂为SYSLOGD_OPTIONS=＂-m 0 -r＂2、重启syslog服务,会发现UDP的514端口处于监听状态.

蒙亚旭1838请教,ubuntu服务器异常重启,请看日志帮我指点下呢 -
孔馥鬼17549072737 ______ 看日志应该是某人在7点31分插入了USB的键盘和鼠标,然后在7点33分尝试登录失败超过3次被记录了下来,然后最后7点35分的时候你的机器确实重启了.可能是想给你的机器重启但是没有密码,所以就拔电源或者Reset了.可能是机房维护或者操作不小心之类的.具体怎么关机的去看IPMI

蒙亚旭1838怎么导出linux系统日志. -
孔馥鬼17549072737 ______ 1、连接上相应的linux主机,进入到等待输入shell指令的linux命令行状态下. 2、在命令行下输入shell指令:sz /var/log/boot.log,此时会弹出下载位置选择. 3、点击确定,此时会看到日志被成功导出了.

蒙亚旭1838linux php错误日志在哪 -
孔馥鬼17549072737 ______ 由于nginx仅是一个web服务器,因此nginx的access日志只有对访问页面的记录,不会有php 的 error log信息.nginx把对php的请求发给php-fpm fastcgi进程来处理,默认的php-fpm只会输出php-fpm的错误信息,在php-fpm的errors log里也看不到...

蒙亚旭1838linux怎么关闭传递给日志服务器 -
孔馥鬼17549072737 ______ 首先需要一台日志服务器(如IP地址为10.1.1.1), 然后在Linux操作系统配置并启动日志服务器: 1、编辑“/etc/syslog.conf”; 2、在消息去向处添加“*.Error; authpriv.* @10.1.1.1”; 3、存盘退出重起服务“/etc/rc.d/init.d/syslog restart”

蒙亚旭1838Linux如何查看死机原因 -
孔馥鬼17549072737 ______ 查看linux系统日志,步骤如下:1、首先,连接相应linux主机,进入到linux命令行状态下,等待输入shell指令.2、在linux命令行下输入shell指令:cat /var/log/messages.3、键盘按“回车键”运行shell指令,这时就看到系统日志被打印了出来....

蒙亚旭1838Ubuntu 系统日志记录如下问题,怎么解决 -
孔馥鬼17549072737 ______ 在ubuntu下安装crontab后,系统默认的是不开启crontab的日志记录的,启用crontab的日志的办法:1.修改rsyslog文件,将/etc/rsyslog.d/50-default.conf 文件中的#cron.*前的#删掉;重启rsyslog服务service rsyslog restart;重启cron服务service ...

蒙亚旭1838linux服务器死机了怎么办 -
孔馥鬼17549072737 ______ 服务器死机的原因很多.如果确保在硬件没问题的情况下.可以先从/var/log下的日志查起..通过iostat 或者 vmstat sar 等命令来检查机器的整体性能状态.我不知道你是否做了相关的监控措施,比如通过某些监控软件对服务器进行监控.通过监控数据分析服务器的整体状况.也可以协调应用部门查看应用方面的日志是否有异常.这个还得按照具体情况分析.关于更多Linux的学习,请查阅书籍《linux就该这么学》.

蒙亚旭1838Linux下开启伪静态报错,求解! -
孔馥鬼17549072737 ______ 建议先检查文件的权限问题(包括.htaccess文件),最后,查看.htaccess规则.如果在windows下没有问题,但在linux下有问题的话,一般都是权限问题,或者文件的 用户/用户组 不对所致,直接用命令#ls -l 查看该文件夹即可看到

蒙亚旭1838Linux系统无法生成日志文件,怎么解决啊? -
孔馥鬼17549072737 ______ 各个服务不同,不可以一概而论.比如在分析登陆情况,文件调用等时,可以通过 audit 这个 daemon 来做一些分析;而系统自身的日志更多的在 /var/log 下,比如 message 这个最重要的日志;还有一些日志可以通过命令的方式直接显示出来,如 last;最多的就是各个应用服务的日志文件,这个一般都有专门的目录来记录.