（六）qmail的日志和管理[2]

rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000 
dbb **Never logged in** 
xinchen **Never logged in** 
pb9511 **Never logged in** 
xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000 

另外，可一加一些参数，例如，last -u 102将报告UID为102的用户；last -t 7表示限制上一周的报告。
6.1.2 进程统计日志
进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚弄乱了哪些重要的文件，进程统计子系统可以告诉你。它对还跟踪一个侵入者有帮助。与连接时间日志不同，进程统计子系统缺省不激活，它必须启动。在Linux系统中启动进程统计使用accton命令，必须用root身份来运行。Accton命令的形式accton file，file必须先存在。先使用touch命令来创建pacct文件：
# touch /var/log/pacct
然后运行accton：
# accton /var/log/pact
一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的accton命令。 

lastcomm命令报告以前执行的文件。不带参数时，lastcomm命令显示当前统计文件生命周期内纪录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户，输入则可能很长。下面的例子（表8）：
------------------------------------------------------------------------------ 
crond F root ?? 0.00 secs Sun Aug 20 00:16 
promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16 
promisc_check root ?? 0.01 secs Sun Aug 20 00:16 
grep root ?? 0.02 secs Sun Aug 20 00:16 
tail root ?? 0.01 secs Sun Aug 20 00:16 
sh root ?? 0.01 secs Sun Aug 20 00:15 
ping S root ?? 0.01 secs Sun Aug 20 00:15 
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 
sh root ?? 0.01 secs Sun Aug 20 00:15 
ping S root ?? 0.02 secs Sun Aug 20 00:15 
ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15 
sh root ?? 0.02 secs Sun Aug 20 00:15 
ping S root ?? 0.00 secs Sun Aug 20 00:15 
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 
sh root ?? 0.01 secs Sun Aug 20 00:15 
ping S root ?? 0.01 secs Sun Aug 20 00:15
------------------------------------------------------------------------------
进程统计的一个问题是pacct文件可能增长的十分迅速。这时需要交互式的或经过cron机制运行sa命令来保持日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。sa缺省情况下先读它们，然后读pacct文件，使报告能包含所有的可用信息。sa的输出有下面一些标记项（表9）：
----------------------------------------------------------------------------
avio--每次执行的平均I/O操作次数 
cp--用户和系统时间总和，以分钟计 
cpu--和cp一样 
k--内核使用的平均CPU时间，以1k为单位 
k*sec--CPU存储完整性，以1k-core秒 
re--实时时间，以分钟计 
s--系统时间，以分钟计 
tio--I/O操作的总数 
u--用户时间，以分钟计 
-------------------------------------------------------------------------------
例如（表10）： 
-------------------------------------------------------------------------------
842 173.26re 4.30cp 0avio 358k 
2 10.98re 4.06cp 0avio 299k find 
9 24.80re 0.05cp 0avio 291k ***other 
105 30.44re 0.03cp 0avio 302k ping 
104 30.55re 0.03cp 0avio 394k sh 
162 0.11re 0.03cp 0avio 413k security.sh* 
154 0.03re 0.02cp 0avio 273k ls 
56 31.61re 0.02cp 0avio 823k ping6.pl* 
2 3.23re 0.02cp 0avio 822k ping6.pl 
35 0.02re 0.01cp 0avio 257k md5sum 
97 0.02re 0.01cp 0avio 263k initlog 
12 0.19re 0.01cp 0avio 399k promisc_check.s 
15 0.09re 0.00cp 0avio 288k grep 
11 0.08re 0.00cp 0avio 332k awk 
------------------------------------------------------------------------------
用户还可以根据用户而不是命令来提供一个摘要报告。例如sa -m显示如下（表11）： 

885 173.28re 4.31cp 0avk 
root 879 173.23re 4.31cp 0avk 
alias 3 0.05re 0.00cp 0avk 
qmailp 3 0.01re 0.00cp 0avk 
6．1．3 错误日值
错误日志--由syslogd执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。