fejlfinding med Linu. Logs

fejlfinding er en af hovedårsagerne til, at folk opretter logfiler. Når der opstår et problem, skal du diagnosticere det for at forstå, hvorfor det skete, og hvad årsagen var. En fejlmeddelelse eller en række begivenheder kan give dig ledetråde til grundårsagen, angive, hvordan du gengiver problemet, og guide dig mod løsninger. Dette afsnit viser scenarier, hvor du kan bruge Linu. – logfiler til fejlfinding.,

fail

loginfejl

af sikkerhedsmæssige årsager kan det være en god id.at vide, hvilke brugere der har logget ind eller forsøgt at logge ind på dit system. Du kan kontrollere dine godkendelseslogfiler for mislykkede forsøg, der opstår, når brugerne giver forkerte legitimationsoplysninger eller ikke har tilladelse til at logge ind. Dette sker ofte, når du bruger SSH til fjernadgang, eller når du bruger su-kommandoen til at køre en kommando som en anden bruger. Disse typer godkendelseshændelser logges af pluggable authentication module (PAM)., Ikke begivenheder ofte indeholder strenge, som “Mislykket password” og “bruger ukendt”, mens vellykket godkendelse begivenheder ofte indeholder strenge, som “Accepteret password” og “session åbnes.”

eksempler på fejlhændelser inkluderer:

eksempler på vellykkede logins inkluderer:

Hvis vi vil finde ud af, hvilke brugerkonti der har de mest mislykkede logins, skal vi først udtrække brugernavnet fra auth-loggen. Vi bruger kommandoerne grep, cut, sort og Uni.til at gøre dette., Grep returnerer linjer, der indeholder “ugyldig bruger”, klip udtrækker brugernavne, Sorter ordrer listen over navne, og Uni.tæller antallet af unikke navne:

andre programmer og tjenester kan bruge forskellige formater, så du bliver nødt til at tilpasse denne kommando for hver applikation. Log management systemer kan effektivt gøre dette for dig ved automatisk parsing felter som brugernavn. Dette giver dig mulighed for hurtigt at se og filtrere på mislykkede logins med et enkelt klik. I dette eksempel kan vi se rodbrugeren forsøgt at logge ind over 300 gange.,

brugernavne forbundet med mislykkede loginforsøg vist i loggly dynamic field e .plorer.

Log management systemer også lade dig se grafer over tid til at spotte usædvanlige tendenser. Hvis nogen havde et eller to mislykkede logins inden for få minutter, kan det være, at en rigtig bruger glemte hans eller hendes adgangskode. Men hvis der er hundredvis af mislykkede logins, eller de er alle forskellige brugernavne, er det mere sandsynligt, at nogen forsøger at angribe systemet. Her kan du se en pludselig stigning i forsøg på logins som administrator., Dette er tydeligvis ikke en legitim brug af systemet.

stigning i forsøg på rodlogin. 201 2019 Solar .inds, Inc. Alle rettigheder forbeholdes.

årsag

årsag til genstart

Nogle gange kan en server stoppe på grund af et systemnedbrud eller genstart. Hvordan ved du, hvornår det skete, og hvem gjorde det?

Shutdo .n-kommando

Hvis nogen kørte shutdo .n-kommandoen manuelt, kan du se den i auth-logfilen. Her kan du se, at nogen eksternt logget ind som bruger ubuntu og derefter lukke systemet ned.,

Kernel Initialisering

Hvis du ønsker at se, når serveren genstartes, uanset årsag (herunder nedbrud), kan du søge kernen log-fil(/var/log/kern.log). Syslog anvender også” kern ” – faciliteten til kernelogfiler. Følgende logfiler blev genereret umiddelbart efter opstart. Bemærk tidsstemplet mellem parenteserne er 0: dette sporer den tid, der er gået siden kernen startede. Du kan også finde boot logs ved at søge efter “BOOT_IMAGE”.,

registrer

registrer hukommelsesproblemer

Der er flere grunde til, at en server kan gå ned, men en almindelig årsag er ved at løbe tør for hukommelse.

Når RAM og swap-plads er helt opbrugt, vil kernen begynde at dræbe processer—typisk dem, der bruger mest hukommelse og mest kortlivede. Fejlen opstår, når dit system bruger al sin hukommelse, og en ny eller eksisterende proces forsøger at få adgang til yderligere hukommelse. Kig i dine logfiler for strenge som “Out of Memory” eller for kernel advarsler., Disse strenge angiver, at dit system med vilje dræbte processen eller applikationen i stedet for at lade processen gå ned.

eksempler:

husk grep selv bruger hukommelse, så du kan forårsage en fejl uden hukommelse bare ved at køre grep. Dette er en anden grund til, at det er en fabelagtig id!at centralisere dine logfiler!

cron

Logning Cron Job Fejl

cron-daemon er en scheduler, der kører kommandoer på bestemte datoer og tidspunkter. Hvis processen ikke kører eller ikke er færdig, vises der en cron-fejl i dine logfiler., Du kan finde disse filer i /var/log/cron /var/log/messages og /var/log/syslog afhængigt af din distribution. Der er mange grunde til, at et cron-job kan mislykkes. Normalt ligger problemerne med processen snarere end selve cron-dæmonen.

Som standard, cron jobs output til syslog og vises i /var/log/syslog fil. Du kan også omdirigere output af dine cron-kommandoer til en anden destination, såsom standard output eller en anden fil. I dette eksempel rør vi “Hello worldorld” til logger-kommandoen., Dette skaber to log begivenheder: en fra cron, og en fra kommandoen logger. Parameteren-t indstiller appnavnet til “helloCron”::

$ crontab -e*/5 * * * * echo 'Hello World' 2>&1 | /usr/bin/logger -t helloCron

hvilket opretter logposterne:

hvert cron-job logger forskelligt baseret på den specifikke type job, og hvordan det udsender data. Forhåbentlig er der spor til grundårsagen til problemer i logfilerne, eller du kan tilføje yderligere logning efter behov. I de fleste tilfælde skal du blot lade cron logge output fra dine kommandoer.