Risoluzione dei problemi è uno dei motivi principali persone creano i registri. Quando si verifica un problema, ti consigliamo di diagnosticarlo per capire perché è successo e qual è stata la causa. Un messaggio di errore o una sequenza di eventi può fornire indizi sulla causa principale, indicare come riprodurre il problema e guidarvi verso soluzioni. Questa sezione presenta scenari in cui è possibile utilizzare i log di Linux per la risoluzione dei problemi.,
fail
Login Failures
Per motivi di sicurezza, è possibile sapere quali utenti hanno effettuato l’accesso o tentato di accedere al sistema. È possibile controllare i registri di autenticazione per tentativi falliti, che si verificano quando gli utenti forniscono credenziali errate o non hanno l’autorizzazione per accedere. Ciò si verifica spesso quando si utilizza SSH per l’accesso remoto o quando si utilizza il comando su per eseguire un comando come un altro utente. Questi tipi di eventi di autenticazione vengono registrati dal PAM (pluggable Authentication Module)., Gli eventi non riusciti contengono spesso stringhe come “Password non riuscita” e “utente sconosciuto”, mentre gli eventi di autenticazione riusciti contengono spesso stringhe come” Password accettata “e” sessione aperta.”
Esempi di eventi di errore includono:
Esempi di accessi riusciti includono:
Se vogliamo scoprire quali account utente hanno il maggior numero di accessi falliti, dobbiamo prima estrarre il nome utente dal log di autenticazione. Useremo i comandi grep, cut, sort e uniq per farlo., Grep restituisce righe contenenti “utente non valido”, taglia estrae i nomi utente, ordina l’elenco dei nomi e uniq conta il numero di nomi univoci:
Altre applicazioni e servizi possono utilizzare formati diversi, quindi è necessario adattare questo comando per ogni applicazione. I sistemi di gestione dei log possono efficacemente farlo per te analizzando automaticamente campi come username. Ciò consente di visualizzare e filtrare rapidamente gli accessi non riusciti con un solo clic. In questo esempio, possiamo vedere l’utente root ha tentato di accedere oltre 300 volte.,
Nomi utente associati a tentativi di accesso non riusciti mostrati in Loggly dynamic field explorer.
I sistemi di gestione dei log consentono inoltre di visualizzare grafici nel tempo per individuare tendenze insolite. Se qualcuno ha avuto uno o due accessi non riusciti in pochi minuti, potrebbe essere che un utente reale ha dimenticato la sua password. Tuttavia, se ci sono centinaia di accessi non riusciti o sono tutti nomi utente diversi, è più probabile che qualcuno stia cercando di attaccare il sistema. Qui puoi vedere un improvviso aumento dei tentativi di accesso come amministratore., Questo non è chiaramente un uso legittimo del sistema.
Aumento dei tentativi di accesso root. Per maggiori informazioni:
causa
Causa dei riavvii
A volte un server può fermarsi a causa di un arresto anomalo del sistema o di un riavvio. Come fai a sapere quando è successo e chi è stato?
Comando Shutdown
Se qualcuno ha eseguito manualmente il comando shutdown, puoi vederlo nel file di log di autenticazione. Qui puoi vedere che qualcuno ha effettuato l’accesso remoto come utente ubuntu e quindi ha chiuso il sistema.,
Inizializzazione del kernel
Se vuoi vedere quando il server viene riavviato indipendentemente dal motivo (inclusi gli arresti anomali), puoi cercare il file di registro del kernel (/var/log/kern.log). Syslog applica anche la funzione “kern” ai log del kernel. I seguenti registri sono stati generati immediatamente dopo l’avvio. Nota il timestamp tra le parentesi è 0: questo tiene traccia della quantità di tempo dall’avvio del kernel. Puoi anche trovare i log di avvio cercando “BOOT_IMAGE”.,
rileva
Rileva problemi di memoria
Ci sono diversi motivi per cui un server potrebbe bloccarsi, ma una causa comune è l’esaurimento della memoria.
Quando la RAM e lo spazio di swap sono completamente esauriti, il kernel inizierà a uccidere i processi, in genere quelli che utilizzano la maggior parte della memoria e la maggior parte di breve durata. L’errore si verifica quando il sistema utilizza tutta la sua memoria e un processo nuovo o esistente tenta di accedere alla memoria aggiuntiva. Cerca nei tuoi file di registro stringhe come “Memoria esaurita” o avvisi del kernel., Queste stringhe indicano che il sistema ha ucciso intenzionalmente il processo o l’applicazione piuttosto che consentire il crash del processo.
Esempi:
Tieni presente che grep stesso usa la memoria, quindi potresti causare un errore di memoria insufficiente semplicemente eseguendo grep. Questo è un altro motivo per cui è un’idea favolosa centralizzare i log!
cron
Registrazione errori Cron Job
Il demone cron è uno scheduler che esegue comandi in date e orari specificati. Se il processo non viene eseguito o non viene completato, nei file di registro viene visualizzato un errore cron., Puoi trovare questi file in/var/log/cron,/var/log/messages e/var/log/syslog a seconda della tua distribuzione. Ci sono molte ragioni per cui un lavoro cron può fallire. Di solito i problemi si trovano con il processo piuttosto che il demone cron stesso.
Per impostazione predefinita, i lavori cron vengono inviati in syslog e visualizzati nel file/var/log/syslog. È inoltre possibile reindirizzare l’output dei comandi cron a un’altra destinazione, ad esempio standard output o un altro file. In questo esempio, pipe “Hello world” al comando logger., Questo crea due eventi di log: uno da cron e uno dal comando logger. Il parametro-t imposta il nome dell’app su “helloCron”::
$ crontab -e*/5 * * * * echo 'Hello World' 2>&1 | /usr/bin/logger -t helloCron
Che crea le voci di registro:
Ogni lavoro cron registrerà in modo diverso in base al tipo specifico di lavoro e al modo in cui emette i dati. Speriamo che ci siano indizi sulla causa principale dei problemi all’interno dei registri, oppure è possibile aggiungere ulteriori registrazioni secondo necessità. Nella maggior parte dei casi, dovresti semplicemente lasciare che cron registri l’output dei tuoi comandi.
Vederlo. Analizzalo. Ispezionalo. Risolvilo
Vedi cosa conta.
INIZIA LA PROVA GRATUITA