- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter IAM统一身份管理与安全认证系统
故障处理手册
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍IAM产品软件常见故障的诊断及处理措施。
· 软件正常运行时,建议您在完成重要功能的配置后,及时保存当前配置,以便设备出现故障后能迅速恢复配置。
· 当软件出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),搜集信息越全面、越详细,越有利于故障的快速定位。
¡ 记录具体的故障现象、故障时间、配置信息。
¡ 记录完整的软件部署架构,服务器信息。
¡ 记录现场采取的故障处理措施(比如修改配置、重启软件)及实施后的现象效果。
¡ 搜集每台服务器日志logs信息, 保留故障当时的日志文件。
· 故障处理过程中,请注意:
¡ 明确每项配置操作的影响,保证操作出问题时能够被恢复,故障影响不会扩大。
¡ 操作执行后请等待一定时间以确认执行效果。
¡ 请不要保存故障处理过程中的无效的配置,特别是会造成数据库底层数据发生变化的改动,因为这种改动,普遍会影响的范围比较大,场景比较多,短时间的测试,可能不能覆盖完全的测试用例,所以建议这种重要不紧急的改动,由测试人员确认过后,在更新到生产环境。
目前所有软件服务都是安装到docker镜像中的,所以在启动或者关闭服务时,需要通过docker 的方式来执行。
启动docker 容器:
(1) 切换目录结构到docker 的容器目录
cd /home/iam-docker/iam-compose
(2) 启动docker 容器
docker-compose up -d
(3) 查看启动状态
docker ps -a
(1) 切换目录结构到docker 的容器目录
cd /home/iam-docker/iam-compose
(2) 停止docker 容器
docker-compose down
运维人员应定期查看服务器的使用状态,避免服务器突然发现异常情形,影响用户的正常使用。
使用df显示磁盘空间
输入:
[root@uatam1 ~]# df
输出:
图1-1为服务器磁盘使用的情况,可以大致判断磁盘整体使用情况,合理的预测磁盘使用增长情况,避免把硬盘打满。
这里显示了/、/boot、/dev/shm分区 挂载的系统分区使用的大小,磁盘空间以k为单位。
可以加参数 –h
[root@uatam1 ~]# df–h
表1-1 df命令示意图
当某空间使用率超过85%时,通过du查看是哪些文件占用的空间比较大;
例如/home使用了85%
cd /home
以root用户查看
su
输入root用户密码
[root@localhost /]# du -m --max-depth=1
-m是以M大小显示
--max-depth=1表示只是一级子目录的大小,如果想查看二级的就写为2;
找出占用很大的文件,经判断后决定删除或转移。
每隔5秒,top工具确定哪些进程消耗最多的cpu时间,并按递减顺序在屏幕显示。
输入:[root@uatam1 ~]# top
输出:
图1-2 输出示意
当发现个别进程占用率很高,可以通过用“ps –axj | grep 进程名”查看这个进程在进行什么操作,如果发现这个进程持续的时间很长,而且非系统必要进程;可以通过“kill –9” 进程的PID号,将进程杀死。(不确定情况下,请不要使用);
退出top用ctrl+c。
系统的日志存储于/var/log目录下,需要定期查看,常用日志说明如下:
boot.log:该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息
messages: 该日志文件是许多进程日志文件的汇总,从该文件可以看出任何入侵企图或成功的入侵
lastlog: 该日志文件记录最近成功登录的事件和最后一次不成功的登录事件,由login生成
wtmp: 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件
xferlog: 该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件
cron: 该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。
系统的IAM产品日志,也可以定期查看,帮助检查软件运行的健康状况,常用日志说明如下:
(1) ACM 认证服务和TAC可信代理控制服务日志说明:
日志目录:
因为docker安装目录的不同,日志路径会有不同;
先查询一下日志目录:find / -name idp-process.log;
图1-3 查看示意图
如上图,任何一个路径都可以(两个路径下的日志文件相同);
看一下,是否有idp-error.log ,可以检查系统是否发生过错误,也可以查看idp-process.log是否有错误的日志信息,可以进行相应的分析。
(2) PCM权限管理平台服务日志说明
日志目录:/home/iam-docker/iam-compose/bim/logs
可以查看tomcat的 catalina(catalina.2020-*-*.log)日志文件,检查是否有错误信息。
图2-1 故障处理流程图
检查docker服务是否运行正常
输入:
[root@uatam1 ~]# cd /home/iam-docker/iam-compose/
[root@uatam1 iam-compose]# docker ps -a
输出:
图2-2 输出示意图
如果输出信息如上图所示,则表明docker中各容器已正常启动,否则需要重启相应的容器;具体的有2方法为:
(2) 方法一:
docker stop names(names代表上图中最后一列容器的名字)
docker start names(names 同上)
(3) 方法二:
docker restart names (names 同上)
(1) 检查认证服务和可信代理控制服务是否运行正常
输入:
[root@uatam1 ~]# cd /home/iam-docker/iam-compose/
[root@uatam1 iam-compose]# docker ps -a
输出:
图2-3 输出示意图
查看bam 的status状态是否正常,如果输出信息如上图所示,则代表bam服务是正常启动的,可以提供正常的服务;
(2) 检查bam日志是否存在报错信息;
输入:
[root@localhost iam-compose]# docker logs --tail 200 -f bam
输出:
图2-4 输出示意图
根据日志中显示内容,查看是否存在报错信息。
(1) 检查可信权限管理平台是否运行正常:
输入:
[root@uatam1 ~]# cd /home/iam-docker/iam-compose/
[root@uatam1 iam-compose]# docker ps -a
输出:
图2-5 输出示意图
查看bim 的status状态是否正常,如果输出信息如上图所示,则代表bim服务是正常启动的,可以提供正常的服务;
(2) 检查bim日志是否存在报错信息:
输入:
[root@uatam1 iam-compose]# docker logs --tail 200 -f bim
输出:
图2-6 输出示意图
根据bim日志中显示内容,查看是否存在报错信息。
|
命令 |
说明 |
|
docker-compose -v |
查看docker-compose版本 |
|
docker-compose down |
停止compose(会删除相关的容器) |
|
docker-compose up -d |
compose以守护进程模式运行 |
|
docker ps -a |
查看所有的容器 |
|
docker stop|start|restart| names |
停止|启动|重启容器,names可以是容器名(容器id) |
|
docker logs -f names (例如:docker logs --tail 200 -f bam) |
查看某一个容器的日志,names可以是容器名(容器id)。 |
|
docker rm -f names |
强制删除某一个容器,names可以是容器名(容器id) |
|
docker rmi IMAGE ID |
强制删除某一个镜像,IMAGE ID镜像id |
|
docker save -o redis-image.tar redis:latest |
导出镜像文件 |
|
docker load -i redis-image.tar |
导入镜像文件 |
支持
