Le dépannage est l’une des principales raisons pour lesquelles les gens créent des journaux. Lorsqu’un problème survient, vous voudrez le diagnostiquer pour comprendre pourquoi il s’est produit et quelle en était la cause. Un message d’erreur ou une séquence d’événements peut vous donner des indices sur la cause première, indiquer comment reproduire le problème et vous guider vers des solutions. Cette section présente des scénarios dans lesquels vous pouvez utiliser les journaux Linux pour le dépannage.,

échec

Échecs de connexion

pour des raisons de sécurité, vous voudrez peut-être savoir quels utilisateurs se sont connectés ou ont tenté de se connecter à votre système. Vous pouvez vérifier vos journaux d’authentification pour les tentatives infructueuses, qui se produisent lorsque les utilisateurs fournissent des informations d’identification incorrectes ou ne sont pas autorisés à se connecter. Cela se produit souvent lors de l’utilisation de SSH pour l’accès à distance ou lors de l’utilisation de la commande su pour exécuter une commande en tant qu’autre utilisateur. Ces types d’événements d’authentification sont enregistrés par le module d’authentification enfichable (PAM)., Les événements ayant échoué contiennent souvent des chaînes telles que” mot de passe échoué « et” utilisateur inconnu », tandis que les événements d’authentification réussis contiennent souvent des chaînes telles que” mot de passe accepté « et » session ouverte. »

des exemples d’événements d’échec incluent:

des exemples de connexions réussies incluent:

Si nous voulons savoir quels comptes d’utilisateurs ont le plus d’Échecs de connexion, nous devons d’abord extraire le nom d’utilisateur du journal d’authentification. Nous utiliserons les commandes grep, cut, sort et uniq pour ce faire., Grep renvoie les lignes contenant « utilisateur non valide », cut extrait les noms d’utilisateur, trie la liste des noms et Uniq compte le nombre de noms uniques:

D’autres applications et services peuvent utiliser des formats différents, vous devrez donc adapter cette commande pour chaque application. Les systèmes de gestion des journaux peuvent le faire efficacement pour vous en analysant automatiquement des champs tels que nom d’utilisateur. Cela vous permet d’afficher et de filtrer rapidement les connexions ayant échoué en un seul clic. Dans cet exemple, nous pouvons voir que l’utilisateur root a tenté de se connecter plus de 300 fois.,

noms D’utilisateur associés aux tentatives de connexion échouées affichées dans L’Explorateur de champs dynamique Loggly.

Les systèmes de gestion des journaux vous permettent également d’Afficher des graphiques au fil du temps pour repérer les tendances inhabituelles. Si une ou deux connexions ont échoué en quelques minutes, il se peut qu’un utilisateur réel ait oublié son mot de passe. Cependant, s’il y a des centaines de connexions échouées ou s’il s’agit de noms d’utilisateur différents, il est plus probable que quelqu’un essaie d’attaquer le système. Ici, vous pouvez voir une augmentation soudaine des tentatives de connexion en tant qu’administrateur., Il ne s’agit manifestement pas d’une utilisation légitime du système.

augmentation des tentatives de connexion racine. © 2019 SolarWinds, Inc. Tous droits réservés.

cause

la Cause de Redémarrages

Parfois, un serveur peut arrêter à cause d’un plantage du système ou de redémarrage. Comment savez-vous quand c’est arrivé et qui l’a fait?

la Commande d’Arrêt

Si quelqu’un a la commande d’arrêt manuellement, vous pouvez le voir dans la auth fichier journal. Ici vous pouvez voir que quelqu’un à distance connecté en tant qu’utilisateur d’ubuntu, puis arrêter le système.,

initialisation du noyau

Si vous voulez voir quand le serveur a redémarré quelle que soit la raison (y compris les plantages), vous pouvez rechercher le fichier journal du noyau (/var/log/kern.log). Syslog applique également la fonction” kern  » aux journaux du noyau. Les journaux suivants ont été générés immédiatement après le démarrage. Remarque l’horodatage entre parenthèses est 0: cela suit le temps écoulé depuis le démarrage du noyau. Vous pouvez également trouver des journaux de démarrage en recherchant « BOOT_IMAGE ».,

detect

Detect Memory Problems

Il y a plusieurs raisons pour lesquelles un serveur peut planter, mais une cause commune est le manque de mémoire.

lorsque la RAM et l’espace d’échange sont complètement épuisés, le noyau commence à tuer les processus—généralement ceux qui utilisent le plus de mémoire et le plus de courte durée. L’erreur se produit lorsque votre système utilise toute sa mémoire et qu’un processus nouveau ou existant tente d’accéder à de la mémoire supplémentaire. Recherchez dans vos fichiers journaux des chaînes telles que « Out of Memory » ou des avertissements du noyau., Ces chaînes indiquent que votre système a intentionnellement tué le processus ou l’application plutôt que de laisser le processus se bloquer.

exemples:

gardez à l’esprit que grep lui-même utilise de la mémoire, vous pouvez donc provoquer une erreur de mémoire insuffisante en exécutant grep. C’est une autre raison pour laquelle c’est une idée fabuleuse de centraliser vos journaux!

cron

Journalisation Tâche Cron Erreurs

Le démon cron est un planificateur qui exécute des commandes à des dates et heures. Si le processus ne s’exécute pas ou ne se termine pas, une erreur cron apparaît dans vos fichiers journaux., Vous trouverez ces fichiers dans /var/log/cron, /var/log/messages et /var/log/syslog en fonction de votre distribution. Il y a plusieurs raisons pour lesquelles un travail cron peut échouer. Habituellement, les problèmes résident dans le processus plutôt que dans le démon cron lui-même.

par défaut, les tâches cron sont sorties vers syslog et apparaissent dans le fichier/var/log/syslog. Vous pouvez également rediriger la sortie de vos commandes cron vers une autre destination, telle que la sortie standard ou un autre fichier. Dans cet exemple, nous acheminons « Hello world » vers la commande logger., Cela crée deux événements de journal: un à partir de cron et un à partir de la commande logger. Le paramètre-t définit le nom de l’application sur « helloCron »::

$ crontab -e*/5 * * * * echo 'Hello World' 2>&1 | /usr/bin/logger -t helloCron

ce qui crée les entrées du journal:

chaque travail cron se connecte différemment en fonction du type de travail spécifique et de la façon dont il génère les données. Espérons qu’il existe des indices sur la cause première des problèmes dans les journaux, ou vous pouvez ajouter une journalisation supplémentaire si nécessaire. Dans la plupart des cas, vous devez simplement laisser cron enregistrer la sortie de vos commandes.

voir. L’analyser. L’inspecter. Résolvez-le

voyez ce qui compte.

commencer L’essai gratuit

Articles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *