Vianmääritys Linux Lokit

Vianmääritys on yksi tärkeimmistä syistä ihmiset luoda lokit. Kun ongelma ilmenee, haluat diagnosoida sen ymmärtää, miksi se tapahtui ja mikä syy oli. Virheviesti tai tapahtumasarja voi antaa johtolankoja perussyylle, kertoa, miten asia toistetaan, ja opastaa kohti ratkaisuja. Tässä osiossa esitellään skenaarioita, joissa voit käyttää Linux lokit vianmääritykseen.,

onnistu

Kirjautuminen Epäonnistumisia

turvallisuussyistä, haluat ehkä tietää, mitkä käyttäjät ovat kirjautuneena tai yrittänyt kirjautua järjestelmään. Voit tarkistaa authentication lokit epäonnistuneet yritykset, joita syntyy, kun käyttäjät antavat virheelliset käyttäjätiedot tai ei ole lupaa kirjautua sisään. Tämä tapahtuu usein, kun SSH: ta käytetään etäyhteydessä tai kun su-komentoa käytetään komennon suorittamiseen toisena käyttäjänä. Nämä tyypit authentication tapahtumia kirjautunut pluggable authentication module (PAM)., Ei tapahtumia sisältävät usein merkkijonoja, kuten ”Epäonnistui salasana” ja ”tuntematon käyttäjä”, kun todennus on onnistunut tapahtumia sisältävät usein merkkijonoja, kuten ”Hyväksytty salasana” ja ”istunto avattiin.”

Esimerkkejä epäonnistumisen tapahtumia ovat:

Esimerkkejä onnistuneista käyttäjätunnukset ovat:

Jos haluamme selvittää, mitkä käyttäjätilit on eniten epäonnistunut käyttäjätunnukset, meidän on ensin pura käyttäjän nimi auth-log. Käytämme grep -, cut -, lajittelu-ja uniq-komentoja tähän., Grep palauttaa rivit, jotka sisältävät ”virheellinen käyttäjä”, leikkaa poimii käyttäjätunnukset, sort tilauksia, luettelo nimiä, ja uniq laskee useita ainutlaatuisia nimiä:

Muut sovellukset ja palvelut voivat käyttää eri muodoissa, joten sinun täytyy sopeutua tämä komento kunkin sovelluksen. Log management systems voi tehokkaasti tehdä tämän sinulle automaattisesti jäsentämällä kentät, kuten käyttäjätunnus. Tämän avulla voit nopeasti tarkastella ja suodattaa epäonnistuneita kirjautumisia yhdellä napsautuksella. Tässä esimerkissä näemme pääkäyttäjän yrittäneen kirjautua sisään yli 300 kertaa.,

käyttäjätunnukset liittyy epäonnistui kirjautumisyrityksiä esitetty Loggly dynaaminen kenttä explorer.

Lokinhallintajärjestelmien avulla voit myös tarkastella kaavioita ajan mittaan havaitaksesi epätavallisia suuntauksia. Jos jollakulla oli yksi tai kaksi epäonnistunutta kirjautumistietoa muutamassa minuutissa, voi olla, että oikea käyttäjä unohti salasanansa. Kuitenkin, jos on satoja epäonnistuneita kirjautumisia tai ne ovat kaikki erilaisia käyttäjätunnuksia, on todennäköisempää, että joku yrittää hyökätä järjestelmään. Täällä voit nähdä äkillinen Aalto yrittää logins järjestelmänvalvojana., Tämä ei selvästikään ole järjestelmän laillinen käyttö.

Aalto yritti root käyttäjätunnukset. © 2019 SolarWinds, Inc. Kaikki oikeudet pidätetään.

syy

uudelleenkäynnistyksen syy

joskus palvelin voi pysähtyä järjestelmäromahduksen tai uudelleenkäynnistyksen vuoksi. Mistä tiedät, milloin se tapahtui ja kuka sen teki?

Shutdown Command

Jos joku juoksi shutdown command manuaalisesti, voit nähdä sen auth log-tiedosto. Täällä näet, että joku etänä Kirjautunut käyttäjäksi ubuntu ja sitten sulkea järjestelmän.,

Kernel Alustetaan

Jos haluat nähdä, kun palvelin uudelleen riippumatta syystä (mukaan lukien kaatuu), voit etsiä kernel log file(/var/log/kern.log). Syslog soveltaa Kern-laitosta myös ytimen lokkeihin. Seuraavat lokit syntyivät heti saapumisen jälkeen. Huomaa hakasulkeiden välinen aikaleima on 0: Tämä seuraa ytimen käynnistymisen jälkeistä aikaa. Voit myös löytää boot lokit etsimällä ”BOOT_IMAGE”.,

havaita

Havaita muistiongelmia

On olemassa useita syitä, palvelin saattaa kaatua, mutta yksi yleinen syy on loppumassa muisti.

Kun RAM ja swap-tilaa ovat täysin loppuun, ydin alkaa tappaa prosesseja—yleensä ne, jotka käyttävät eniten muistia, ja kaikkein lyhytikäisiä. Virhe tapahtuu, kun järjestelmäsi käyttää kaikkea muistiaan, ja uusi tai olemassa oleva prosessi yrittää päästä käsiksi lisämuistiin. Etsi lokitiedostoista merkkijonoja, kuten” Out of Memory ” tai ytimen varoituksia., Nämä jouset osoittavat, että järjestelmäsi tappoi tahallaan prosessin tai sovelluksen eikä antanut prosessin kaatua.

Esimerkkejä:

Pidä mielessä, grep itse käyttää muistia, joten sinun saattaa aiheuttaa out-of-muistin virhe, vain suorittamalla grep. Tämä on toinen syy, miksi se on upea idea keskittää lokit!

cron

Hakkuut Cron Job Virheitä

cron-daemon on ajastin, joka toimii komentoja tiettyinä päivinä ja aikoina. Jos prosessi ei toimi tai epäonnistuu loppuun, sitten cron virhe näkyy loki-tiedostoja., Löydät nämä tiedostot /var/log/cron, /var/log/messages ja /var/log/syslog riippuen jakeluun. On monia syitä, miksi cron-työ voi epäonnistua. Yleensä ongelmat liittyvät prosessiin eikä itse cron daemoniin.

oletuksena, cron työpaikkoja lähtö syslog ja näkyvät /var/log/syslog tiedosto. Voit myös ohjata cron-komentojesi ulostulon toiseen kohteeseen, kuten standardilähtöön tai toiseen tiedostoon. Tässä esimerkissä piippaamme” Hello world ” metsurin komentoon., Tämä luo kaksi lokitapahtumaa: yhden Cronista ja yhden metsurin komennosta. -T-parametri määrittää sovelluksen nimi ”helloCron”::

$ crontab -e*/5 * * * * echo 'Hello World' 2>&1 | /usr/bin/logger -t helloCron

Joka luo log entries:

Jokainen ajastettu tehtävä on kirjautua eri perusteella tietyntyyppistä työtä ja miten se tulostaa tietoja. Toivottavasti lokien sisällä on vihjeitä ongelmien juurisyystä, tai voit lisätä lisää hakkuita tarpeen mukaan. Useimmissa tapauksissa, sinun pitäisi yksinkertaisesti antaa cron kirjata ulostulo komennot.