Feilsøking med Linux Logger

Feilsøking er en av de viktigste grunnene til at folk oppretter logger. Når det oppstår et problem, vil du ønsker å diagnostisere det å forstå hvorfor det skjedde og hva årsaken var. En feilmelding eller en sekvens av hendelser som kan gi deg et hint til årsaken, indikerer hvordan du kan gjenskape problemet, og guide deg til løsninger. Denne delen presenterer scenarier der du kan bruke Linux logger for feilsøking.,

mislykkes

påloggingsfeil

av sikkerhetshensyn, kan du ønsker å vite hvilke brukere som har logget på eller har forsøkt å logge deg på systemet. Du kan sjekke din godkjenning logger for mislykkede forsøk, som oppstår når brukere gir uriktig legitimasjon eller ikke har tillatelse til å logge deg på. Dette skjer ofte når du bruker SSH for ekstern tilgang, eller når du bruker kommandoen su å kjøre en kommando som en annen bruker. Disse typer godkjenning hendelser som skal logges av pluggbare godkjenning modul (PAM)., Mislyktes hendelser ofte inneholder strenger som «Feil passord» og «user ukjent», mens godkjenningen hendelser ofte inneholder strenger som «Akseptert passord» og «økt åpnet.»

Eksempler på svikt hendelser inkluderer:

Eksempler på vellykkede innlogginger inkluderer:

Hvis vi ønsker å finne ut hvilke brukerkontoer har mest mislykkede pålogginger, vi må først pakke ut brukernavn fra auth-logg. Vi vil bruke grep, klippe, sortere, og uniq kommandoer for å gjøre dette., Grep returnerer linjene som inneholder «invalid user», kutte ut brukernavn, sortere bestillinger listen over navn, og uniq teller antall unike navn:

Andre programmer og tjenester kan bruke ulike formater, slik at du trenger for å tilpasse dette kommando for hvert program. Logg management-systemer som effektivt kan gjøre dette for deg ved automatisk analyse felt som brukernavn. Dette lar deg raskt filtrere og se på innlogginsforsøk med et enkelt klikk. I dette eksemplet kan vi se root brukeren forsøkt å logge deg på over 300 ganger.,

brukernavn forbundet med mislykkede påloggingsforsøk vist i Loggly dynamisk felt explorer.

Logg management-systemene også la deg se grafer over tid til å oppdage det uvanlige trender. Hvis noen hadde en eller to mislykkede pålogginger i løpet av noen få minutter, kan det være at en ekte brukeren har glemt passordet sitt. Imidlertid, hvis det er hundrevis av mislykkede pålogginger, eller de er alle forskjellige brukernavn, det er mer sannsynlig at noen prøver å angripe systemet. Her kan du se en plutselig økning i påloggingsforsøk som administrator., Dette er helt klart ikke en legitim bruk av systemet.

Økning i forsøk på rot innlogginger. © 2019 SolarWinds, Inc. Alle rettigheter er reservert.

føre

Årsaken til på Nytt

noen Ganger kan en server kan stoppe på grunn av en systemkrasj eller starte på nytt. Hvordan vet du når det skjedde og hvem som gjorde det?

Shutdown Kommandoen

Hvis noen løp stansen kommandoen manuelt, kan du se det i auth loggfil. Her kan du se at noen eksternt logget inn som bruker ubuntu og deretter slår systemet ned.,

Kernel Initialiserer

Hvis du ønsker å se når serveren startes på nytt uavhengig av årsak (inkludert krasjer), kan du søke kjernen logg-fil(/var/log/kern.log). Syslog også gjelder «kern» anlegget til kjernen logger. Følgende loggtyper ble generert umiddelbart etter oppstart. Merk tidsstempelet mellom brakettene er 0: dette spor tiden siden kjernen i gang. Du kan også finne boot logger ved å søke etter «BOOT_IMAGE».,

oppdage

Oppdage Problemer med Minne

Det er mange grunner til at en server kan krasje, men en vanlig årsak kjører ut av minnet.

Når RAM og bytte plass er helt utslitt, kjernen vil begynne å drepe prosesser—vanligvis er de som bruker mest minne og mest kortvarig. Feilen oppstår når systemet er å bruke hele sitt minne, og en ny eller eksisterende prosessen forsøk på å få tilgang til mer minne. Se i logg-filer for strenger som «Out of Memory», eller for kjernen advarsler., Disse strenger, indikerer systemet med hensikt drept prosessen eller programmet i stedet for å la prosessen med å krasje.

Eksempel:

husk grep selv bruker minne, slik at du kan føre en ut-av-minne feil bare ved å kjøre grep. Dette er en annen grunn til at det er en fantastisk idé å sentralisere logger!

cron

Logging Cron-Jobb Feil

cron-daemonen en planlegger som kjører kommandoer på angitte datoer og klokkeslett. Hvis prosessen ikke klarer å kjøre eller ikke klarer å fullføre, så en cron-feilmelding dukker opp i dine loggfiler., Du kan finne disse filene i /var/log/cron, /var/log/messages, og /var/log/syslog avhengig av din distribusjon. Det er mange grunner til en cron-jobb kan mislykkes. Vanligvis problemer med å ligge med prosessen heller enn cron daemon seg selv.

som standard, cron jobber utgang til syslog og vises i /var/log/syslog – filen. Du kan også omdirigere utdataene for din cron-kommandoer til et annet mål, for eksempel standard utgang eller en annen fil. I dette eksemplet, vi pipe «Hello world» til loggeren kommando., Dette skaper to logger hendelser: en fra cron, og en fra loggeren kommando. -T-parameteren angir navnet på appen til «helloCron»::

$ crontab -e*/5 * * * * echo 'Hello World' 2>&1 | /usr/bin/logger -t helloCron

Som skaper loggoppføringene:

Hver cron-jobb vil logge forskjellig basert på den spesifikke type jobb og hvordan det utganger data. Forhåpentligvis er det spor til roten årsaken til problemene i loggene, eller du kan legge til ekstra logging når det er nødvendig. I de fleste tilfeller, bør du bare la cron logg utdata fra kommandoer.