La solución de problemas es una de las principales razones por las que las personas crean registros. Cuando ocurre un problema, querrás diagnosticarlo para entender por qué sucedió y cuál fue la causa. Un mensaje de error o una secuencia de eventos puede darle pistas sobre la causa raíz, indicar cómo reproducir el problema y guiarlo hacia soluciones. Esta sección presenta escenarios en los que puede utilizar los registros de Linux para solucionar problemas.,
fail
Login Failures
por motivos de seguridad, es posible que desee saber qué usuarios han iniciado sesión o han intentado iniciar sesión en su sistema. Puede comprobar los registros de autenticación en busca de intentos fallidos, que se producen cuando los usuarios proporcionan credenciales incorrectas o no tienen permiso para iniciar sesión. Esto ocurre a menudo cuando se usa SSH para acceso remoto o cuando se usa el comando su para ejecutar un comando como otro usuario. Estos tipos de eventos de autenticación son registrados por el módulo de autenticación conectable (Pam)., Los eventos fallidos a menudo contienen cadenas como » contraseña fallida «y» usuario desconocido», mientras que los eventos de autenticación exitosa a menudo contienen cadenas como» contraseña aceptada «y» Sesión abierta».»
Los ejemplos de eventos de error incluyen:
Los ejemplos de inicios de sesión exitosos incluyen:
si queremos averiguar qué cuentas de usuario tienen más inicios de sesión fallidos, primero necesitamos extraer el nombre de usuario del registro de autenticación. Usaremos los comandos grep, cut, sort y uniq para hacer esto., Grep devuelve líneas que contienen «Usuario no válido», cut extrae los nombres de usuario, ordena la lista de nombres y uniq cuenta el número de nombres únicos:
otras aplicaciones y servicios pueden usar diferentes formatos, por lo que deberá adaptar este comando para cada aplicación. Los sistemas de administración de registros pueden hacer esto de manera efectiva por usted al analizar automáticamente campos como nombre de usuario. Esto le permite ver y filtrar rápidamente los inicios de sesión fallidos con un solo clic. En este ejemplo, podemos ver que el usuario root intentó iniciar sesión más de 300 veces.,
nombres de usuario asociados con intentos de inicio de sesión fallidos que se muestran en el Explorador de campos dinámicos Loggly.
Los sistemas de gestión de Registros también le permiten ver gráficos a lo largo del tiempo para detectar tendencias inusuales. Si alguien tuvo uno o dos inicios de sesión fallidos en pocos minutos, puede ser que un usuario real haya olvidado su contraseña. Sin embargo, si hay cientos de inicios de sesión fallidos o Todos son nombres de usuario diferentes, es más probable que alguien esté tratando de atacar el sistema. Aquí puede ver un repentino aumento en los intentos de inicio de sesión como administrador., Es evidente que no se trata de un uso legítimo del sistema.
Surge en intentos de inicio de sesión de root. © 2019 SolarWinds, Inc. Todos los derechos reservados.
causa
causa de reinicios
a veces, un servidor puede detenerse debido a un bloqueo o reinicio del sistema. ¿Cómo sabes cuándo sucedió y quién lo hizo?
comando de apagado
si alguien ejecutó el comando de apagado manualmente, puede verlo en el archivo de registro de autenticación. Aquí se puede ver que alguien de forma remota conectado como el usuario ubuntu y luego apagar el sistema.,
inicialización del Kernel
si desea ver cuándo se reinicia el servidor independientemente del motivo (incluidos los bloqueos), puede buscar en el archivo de registro del kernel(/var/log/kern.log). Syslog también aplica la instalación» kern » a los registros del kernel. Los siguientes registros se generaron inmediatamente después del arranque. Nota la marca de tiempo entre corchetes es 0: Esto rastrea la cantidad de tiempo desde que se inició el kernel. También puede encontrar los registros de arranque buscando «BOOT_IMAGE».,
detectar
detectar problemas de memoria
hay varias razones por las que un servidor puede fallar, pero una causa común es quedarse sin memoria.
Cuando la RAM y el espacio de intercambio están completamente agotados, el kernel comenzará a matar procesos, típicamente aquellos que usan la mayor cantidad de memoria y la más corta duración. El error se produce cuando el sistema está utilizando toda su memoria y un proceso nuevo o existente intenta acceder a memoria adicional. Busque en sus archivos de registro cadenas como «fuera de memoria» o advertencias del núcleo., Estas cadenas indican que su sistema mató intencionalmente el proceso o la aplicación en lugar de permitir que el proceso se bloquee.
ejemplos:
tenga en cuenta que grep usa memoria, por lo que puede causar un error de falta de memoria simplemente ejecutando grep. Esta es otra razón por la que es una idea fabulosa para centralizar sus registros!
cron
registro de errores de trabajo Cron
El demonio cron es un programador que ejecuta comandos en fechas y horas especificadas. Si el proceso no se ejecuta o no termina, aparecerá un error cron en los archivos de registro., Usted puede encontrar estos archivos en el /var/log/cron, /var/log/messages y /var/log/syslog dependiendo de su distribución. Hay muchas razones por las que un trabajo cron puede fallar. Por lo general, los problemas se encuentran con el proceso en lugar del demonio cron en sí.
de forma predeterminada, los trabajos cron se envían a syslog y aparecen en el archivo /var/log/syslog. También puede redirigir la salida de sus comandos cron a otro destino, como la salida estándar u otro archivo. En este ejemplo, canalizamos «Hello world» al comando logger., Esto crea dos eventos de registro: Uno desde cron y otro desde el comando logger. El parámetro-t establece el nombre de la aplicación en «helloCron»::
$ crontab -e*/5 * * * * echo 'Hello World' 2>&1 | /usr/bin/logger -t helloCron
que crea las entradas de Registro:
Cada trabajo cron se registrará de manera diferente según el tipo específico de trabajo y cómo genera los datos. Esperemos que haya pistas sobre la causa raíz de los problemas dentro de los registros, o puede agregar registros adicionales según sea necesario. En la mayoría de los casos, simplemente debe dejar que cron registre la salida de sus comandos.
véalo. Analícelo. Inspeccionarlo. Solucionarlo
Ver lo que importa.
Iniciar prueba gratuita