17、Linux 存储管理与日志配置指南

Linux 存储管理与日志配置指南

1. 存储管理 - LVM 操作

在 Linux 系统中，逻辑卷管理器（LVM）为存储管理提供了强大的功能。在使用 LVM 之前，我们需要对逻辑卷进行格式化。以 ext4 文件系统为例，操作步骤如下：
1. 使用 lvdisplay 命令查看逻辑卷设备名，在输出的第三行（LV Path 下方）可找到。
2. 使用以下命令格式化逻辑卷：

sudo mkfs.ext4 /dev/vg-packt/packtvol1

3. 挂载格式化后的逻辑卷，例如挂载到 /mnt/lvm/packtvol1 ：

sudo mount /dev/vg-packt/packtvol1 /mnt/lvm/packtvol1

4. 使用 df -h 命令验证挂载情况和磁盘大小：

df -h | grep packtvol1

如果初始分配的磁盘空间不足，我们可以扩展逻辑卷。以下是扩展逻辑卷的步骤：
1. 使用 lvextend 命令扩展逻辑卷，将剩余空间全部分配给逻辑卷：

sudo lvextend -n /dev/vg-packt/packtvol1 -l +100%FREE

2. 再次使用 df -h 命令查看，发现空间未更新。这是因为没有调整 ext4 文件系统大小，使用 resize2fs 命令调整：

sudo resize2fs /dev/mapper/vg--packt-packtvol1

3. 再次使用 df -h 命令验证，可看到空间已更新。

当需要删除逻辑卷或卷组时，可使用以下命令：
- 删除逻辑卷：

sudo lvremove vg-packt/packtvol1

• 删除卷组：

sudo vgremove vg-packt

删除物理卷可使用 pvremove 命令，但在使用前需确保该物理卷不属于任何卷组且不包含活动逻辑卷，否则可能导致数据丢失。

LVM 操作流程如下：

graph LR
    A[查看逻辑卷设备名] --> B[格式化逻辑卷]
    B --> C[挂载逻辑卷]
    C --> D[验证挂载情况]
    D --> E{空间是否不足}
    E -- 是 --> F[扩展逻辑卷]
    F --> G[调整文件系统大小]
    G --> H[验证空间更新]
    E -- 否 --> I{是否需要删除}
    I -- 是 --> J[删除逻辑卷或卷组]
    I -- 否 --> K[结束]

2. 日志配置与远程日志

日志记录对于 Linux 系统的故障排除、监控和审计至关重要。Linux 使用 syslog 系统进行日志记录，syslog 守护进程收集系统各部分的消息并写入日志文件。日志配置文件通常位于 /etc/syslog.conf 或 /etc/rsyslog.conf ，具体取决于系统发行版。

日志配置的关键参数是 facility.severity ，它用于控制记录哪些日志消息以及存储位置。例如，将 auth 设施中严重级别为警告及以上的消息记录到 /var/log/auth.log 文件：

auth.warning /var/log/auth.log

配置文件的目标部分指定日志消息的存储位置，目标类型有以下几种：
| 目标类型 | 说明 |
| ---- | ---- |
| file | 将消息存储在本地文件中 |
| remote | 使用 syslog 协议将消息发送到远程主机 |
| program | 将消息发送到本地程序进行处理 |

例如，将严重级别为错误及以上的消息发送到 IP 地址为 192.168.1.100 的远程主机：

*.err @192.168.1.100

修改 syslog 配置文件后，需要重启 syslog 守护进程使更改生效。以 Ubuntu 为例，使用以下命令重启：

sudo service rsyslog restart

日志文件中的条目大致可分为以下几类：
- Informational ：用于通知用户和管理员系统发生了积极变化，但需注意异常时间的重启可能存在问题。
- Debug ：系统在应用代码运行出错时发送，帮助开发人员识别和解决问题。
- Warning ：系统缺少某些必要元素，但不影响正常运行时发出。
- Error ：系统发生错误时记录相关信息，通常需要进一步调查确定问题根源。
- Alert ：用于引起对重要事件的关注，常见于安全相关设备和系统。

日志数据的发送和收集使用 syslog 协议，其工作流程如下：
1. 设备生成日志消息。
2. 设备使用 syslog 协议将日志消息发送到 syslog 服务器，服务器可位于本地或云端。
3. syslog 服务器接收并处理日志消息，可存储在文件或数据库中，也可转发到其他系统进行进一步分析。
4. syslog 服务器可对接收的日志消息应用过滤器和规则，如丢弃无关消息或在发生关键错误时发送警报。
5. 系统管理员和分析师可访问 syslog 服务器存储的日志数据进行故障排除、分析和报告。

使用集中式日志收集器的优点包括：
- 是所有日志消息的集中存储库。
- 可安全存储日志。
- 便于检查服务器的所有日志信息。

在使用 rsyslog 进行日志管理时，首先需要检查 rsyslog 服务的状态和版本。以下是检查多台服务器 rsyslog 服务状态的步骤：
1. 创建 servers.txt 文件，每行添加一台需要检查的服务器：

server1.example.com
server2.example.com
server3.example.com

2. 创建 check_rsyslog_service.sh 脚本：

#!/bin/bash
while read server;
do
echo "Checking rsyslog service on $server"
ssh $server "systemctl status rsyslog" ; done < servers.txt

3. 使脚本可执行：

chmod +x check_rsyslog_service.sh

4. 运行脚本：

./check_rsyslog_service.sh

Linux 存储管理与日志配置指南

3. 配置 rsyslog 进行集中式日志记录

在确保 rsyslog 服务正常运行且版本为最新后，我们可以配置 rsyslog 实现集中式日志记录。具体步骤如下：
1. 启用 imudp 输入模块 ：在 /etc/rsyslog.conf 配置文件中启用 rsyslog UDP 输入模块 imudp ，该模块允许中央 rsyslog 服务器接收通过 UDP 广播的 syslog 消息。同时，需将 imudp 模块配置为使用默认 UDP 端口 514。
2. 创建 rsyslog 模板 ：创建一个新的 rsyslog 模板文件 /etc/rsyslog.d/50 - remote - logs.conf ，该模板可让中央 rsyslog 服务器收集其他服务器的日志，并将其存储在 /var/log/remotelogs/ 目录下。
3. 创建并设置日志目录权限 ：运行以下命令创建新的日志目录，并设置其所有权和所属组：

mkdir -p /var/log/remotelogs
chown -R root:adm /var/log/remotelogs/

4. 检查 rsyslog 设置 ：执行 rsyslogd 命令检查 /etc/rsyslog.conf 和 /etc/rsyslog.d/50 - remote - logs.conf 的配置语法是否正确。
5. 重启 rsyslog 服务 ：使用以下命令重启 rsyslog 服务，使配置生效：

systemctl restart rsyslog

6. 检查端口开放情况 ：使用 ss 命令检查端口是否正确开放：

ss -tulpn

配置 rsyslog 进行集中式日志记录的流程如下：

graph LR
    A[启用 imudp 模块] --> B[创建 rsyslog 模板]
    B --> C[创建并设置日志目录权限]
    C --> D[检查 rsyslog 设置]
    D --> E[重启 rsyslog 服务]
    E --> F[检查端口开放情况]

4. 向集中式 rsyslog 服务器发送日志

配置好中央 rsyslog 服务器后，还需要将远程客户端系统的日志发送到该服务器。以 client01 机器为例，使用 rsyslog 输出模块 omfwd 发送日志，具体步骤如下：
1. 安装并配置 omfwd 模块 ： omfwd 模块通常已安装，它可与 rsyslog 模板结合使用，通过 UDP 和 TCP 将数据传输到指定目的地。
2. 创建客户端 rsyslog 配置文件 ：在客户端创建新的 rsyslog 配置文件 /etc/rsyslog.d/20 - forward - logs.conf ，使用 SendRemote 模板格式化日志消息，并通过 UDP 协议将其发送到中央 rsyslog 服务器（需将 IP 地址替换为实际的中央 rsyslog 服务器 IP）。
3. 检查配置语法 ：运行以下命令检查配置文件的语法是否正确：

rsyslogd -N1 -f /etc/rsyslog.d/20 - remote - logs.conf

4. 重启 rsyslog 服务 ：使用以下命令重启客户端的 rsyslog 服务：

sudo systemctl restart rsyslog

5. 验证日志接收情况 ：检查中央 rsyslog 服务器是否接收到客户端发送的日志。

向集中式 rsyslog 服务器发送日志的步骤总结如下表：
| 步骤 | 操作 | 命令示例 |
| ---- | ---- | ---- |
| 1 | 安装并配置 omfwd 模块 | 通常已安装，结合模板使用 |
| 2 | 创建客户端 rsyslog 配置文件 | /etc/rsyslog.d/20 - forward - logs.conf |
| 3 | 检查配置语法 | rsyslogd -N1 -f /etc/rsyslog.d/20 - remote - logs.conf |
| 4 | 重启 rsyslog 服务 | sudo systemctl restart rsyslog |
| 5 | 验证日志接收情况 | 检查中央服务器日志 |

5. 总结

Linux 系统的存储管理和日志配置是系统管理的重要组成部分。通过 LVM 可以灵活地管理磁盘空间，包括创建、扩展和删除逻辑卷和卷组。而日志配置和远程日志功能则有助于系统的监控、故障排除和审计。使用 rsyslog 进行集中式日志记录可以将分散的日志集中管理，提高日志管理的效率和便利性。在实际操作中，需要严格按照操作步骤进行配置，确保系统的稳定运行。