持久化日志

默認情況下，Red Hat Enterprise Linux 7將系統日志存儲在/run/log/journal中，該日志存儲在tmpfs（臨時文件系統）上。這意味著在重新啟動時，所有存儲的信息都將丟失。如果目錄/var/log/journal存在，日志將存儲在那里，從而在重新引導后啟用持久日志。

可以通過使用以下步驟來啟用持久性日志:

mkdir/var/log/journal

chown root:systemd-journal  /var/log/journal
chmod 2755   /var/log/journal

通過向systemd-journald發送USR1信號，通知它應該使用新位置。當然你也是可以重啟的：

 killall -USR1 systemd-journald

實戰練習:收集信息

在本實驗中，我們呢將使用日志文件來排除web服務器的故障。

您的服務器一臺機器正在運行一個web服務器，為文件servera.lab.example.com/test.html.提供服務。您的測試經理剛剛發來一張通知，告知您不能從web瀏覽器訪問該文件。通知中沒有給出進一步的信息。

使用servera上的日志文件調查此問題，然后解決此問題。

為了重現這個問題，你可以在火狐上瀏覽這是個網頁，也可以執行下面的命令：

elinks -dump http://servera.lab.example.com/test.html

我們遇到HTTP 403的問題。這可能有很多原因:文件權限、Linux類型、內部httpd配置等。

你知道web服務器本身正在運行，并且防火墻是打開的。

我們去servera服務器上看看日志呀：

那我們就應該知道，在服務器上的httpd的日志大多數是存儲在：

/var/log/httpd/access_log   for all access attempts
/var/log/httpd/error_log   for all errors.

1.首先我們在 /var/log/httpd/access_log這個地方查詢關于test.html的任何消息。

grep test.html /var/log/httpd/access_log

這個輸出中的403是HTTP狀態代碼。除此之外，可以看到請求的URL、請求的日期和時間，以及使用的用戶代理，但是沒有任何東西可以進一步幫助解決這個問題。

2.繼續檢查 /var/log/httpd/error_log

tail /var/log/httpd/error_log

這條消息告訴您httpd被文件權限阻止讀取test.html文件。這排除了httpd的內部配置錯誤，所以文件權限和SELinux是可能的原因。

• 檢查/var/www/html/test.html上的文件權限，并在必要時進行修復。

[root@servera ~]# ls -l /var/www/html/test.html

第一組rw-： 表示這個文件的擁有者對它的權限：可讀可寫

第二組---： 表示這個文件的所屬組對它的權限

第三組---： 表示這個文件的其他用戶（相對于上面兩類用戶）對它的權限

我們可以看到這個權限是不太對的。

chmod 644 /var/www/html/test.html

我們讓所有用戶有可讀權限。

我們使用Firefox或elinks再次測試對文件的訪問，發現還是沒有解決這個問題，那么說明文件權限問題不是全部問題。

那么就要去看看SElinux了：

SELinux(Security-Enhanced Linux) 是美國國家安全局（NSA）對于強制訪問控制的實現，是 Linux歷史上最杰出的新安全子系統。NSA是在Linux社區的幫助下開發了一種訪問控制體系，在這種訪問控制體系的限制下，進程只能訪問那些在他的任務中所需要文件。

• 檢查SELinux日志，查看今天發生的任何拒絕，并修復您可能發現的任何問題。

查看selinux今天是否有拒絕：

 ausearch -i -m avc -ts today

這表明test.html文件具有tmp_t的SELinux類型，所以httpd不允許打開它

通過在上運行遞歸restorecon修復此問題 /var/www

[root@servera ~]# restorecon -Rv /var/www

此時我們再次運行那個網頁就發現OK了。