problemen oplossen met Linux Logs

problemen oplossen is een van de belangrijkste redenen waarom mensen logs maken. Wanneer een probleem zich voordoet, wil je het diagnosticeren om te begrijpen waarom het gebeurde en wat de oorzaak was. Een foutmelding of een reeks gebeurtenissen kan u aanwijzingen geven over de oorzaak, aangeven hoe u het probleem kunt reproduceren en u naar oplossingen leiden. Deze sectie presenteert scenario ‘ s waar je Linux logs kunt gebruiken voor het oplossen van problemen.,

fail

Inlogfouten

voor veiligheidsdoeleinden wilt u misschien weten welke gebruikers zich hebben aangemeld of geprobeerd hebben in te loggen op uw systeem. U kunt uw verificatielogboeken controleren op mislukte pogingen, die optreden wanneer gebruikers onjuiste referenties opgeven of geen toestemming hebben om in te loggen. Dit komt vaak voor bij het gebruik van SSH Voor remote access of bij het gebruik van het su commando om een commando uit te voeren als een andere gebruiker. Dit soort verificatiegebeurtenissen worden geregistreerd door de Pam (pluggable authentication module)., Mislukte gebeurtenissen bevatten vaak tekenreeksen zoals ” mislukt wachtwoord “en” gebruiker onbekend”, terwijl succesvolle authenticatiegebeurtenissen vaak tekenreeksen bevatten zoals” geaccepteerd wachtwoord “en” sessie geopend.”

voorbeelden van foutgebeurtenissen zijn:

voorbeelden van succesvolle logins zijn:

als we willen weten welke gebruikersaccounts de meest mislukte logins hebben, moeten we eerst de gebruikersnaam uit het auth-log halen. We zullen de grep, cut, sort en uniq commando ‘ s gebruiken om dit te doen., Grep geeft regels terug die “ongeldige gebruiker” bevatten, knip de Gebruikersnamen uit, Sorteer orders de lijst met namen, en uniq telt het aantal unieke Namen:

andere toepassingen en diensten kunnen verschillende formaten gebruiken, dus je moet dit commando voor elke toepassing aanpassen. Log management systemen kunnen dit effectief voor u doen door automatisch parsing velden zoals gebruikersnaam. Hiermee kunt u snel bekijken en filteren op mislukte aanmeldingen met een enkele klik. In dit voorbeeld kunnen we zien dat de root gebruiker meer dan 300 keer heeft geprobeerd in te loggen.,

Gebruikersnamen geassocieerd met mislukte aanmeldpogingen getoond in de loggly dynamic field explorer.

met Logbeheersystemen kunt u ook grafieken in de loop van de tijd bekijken om ongewone trends te herkennen. Als iemand een of twee mislukte logins binnen een paar minuten had, kan het zijn dat een echte gebruiker zijn of haar wachtwoord vergat. Echter, als er honderden mislukte logins of ze zijn allemaal verschillende gebruikersnamen, is het waarschijnlijker dat iemand probeert om het systeem aan te vallen. Hier kunt u een plotselinge stijging van de pogingen om in te loggen als beheerder te zien., Dit is duidelijk geen legitiem gebruik van het systeem.

piek in pogingen tot root-aanmelding. Ik Heb Een Vraag Over Dit Product. Alle rechten voorbehouden.

oorzaak

oorzaak van herstarten

soms kan een server stoppen als gevolg van een systeemcrash of herstart. Hoe weet je wanneer het gebeurd is en wie het gedaan heeft?

Shutdown Commando

als iemand het shutdown Commando handmatig uitvoerde, kunt u het zien in het auth logbestand. Hier kunt u zien dat iemand op afstand ingelogd als de gebruiker ubuntu en vervolgens het systeem uit te schakelen.,

Kernel Initializing

Als u wilt zien wanneer de server opnieuw is gestart, ongeacht de reden (inclusief crashes), kunt u het kernellogbestand doorzoeken(/var/log/kern.log). Syslog past ook de” kern ” faciliteit toe op kernel logs. De volgende logs werden direct na het opstarten gegenereerd. Merk op dat de tijdstempel tussen de haakjes 0 is: dit volgt de tijd sinds de kernel is gestart. U kunt ook boot logs vinden door te zoeken naar “BOOT_IMAGE”.,

detecteren

geheugenproblemen detecteren

Er zijn verschillende redenen waarom een server kan crashen, maar één veel voorkomende oorzaak is een gebrek aan geheugen.

wanneer de RAM – en swap-ruimte volledig uitgeput zijn, zal de kernel processen beginnen te doden—meestal die met het meeste geheugen en de meest kortstondige. De fout treedt op wanneer uw systeem al zijn geheugen gebruikt, en een nieuw of bestaand proces probeert toegang te krijgen tot extra geheugen. Zoek in je logbestanden naar strings zoals “Out of Memory” of naar kernelwaarschuwingen., Deze strings geven aan dat uw systeem opzettelijk het proces of de toepassing heeft gedood in plaats van het proces te laten crashen.

voorbeelden:

houd er rekening mee dat grep zelf geheugen gebruikt, zodat je een fout in het geheugen kan veroorzaken door grep te gebruiken. Dit is een andere reden waarom het een geweldig idee is om uw logs te centraliseren!

cron

Logging Cron-Taakfouten

de Cron-daemon is een planner die opdrachten uitvoert op opgegeven data en tijden. Als het proces niet wordt uitgevoerd of niet wordt voltooid, verschijnt er een cron-fout in uw logbestanden., U kunt deze bestanden vinden in /var/log/cron, /var/log/messages, en /var/log/syslog afhankelijk van uw distributie. Er zijn vele redenen waarom een cron job kan mislukken. Meestal liggen de problemen bij het proces in plaats van bij de Cron daemon zelf.

standaard worden cron-taken uitgevoerd naar syslog en weergegeven in het /var/log/syslog bestand. U kunt ook de uitvoer van uw cron commando ‘ s omleiden naar een andere bestemming, zoals standaard uitvoer of een ander bestand. In dit voorbeeld pipe we “Hello world” naar het logger Commando., Dit creëert twee log gebeurtenissen: een van cron, en een van de logger Commando. De parameter-t stelt de naam van de app in op “helloCron”::

$ crontab -e*/5 * * * * echo 'Hello World' 2>&1 | /usr/bin/logger -t helloCron

wat de loggegevens creëert:

elke cron-taak zal anders loggen op basis van het specifieke type taak en hoe het gegevens uitvoert. Hopelijk zijn er aanwijzingen voor de oorzaak van problemen binnen de logs, of u kunt extra logging toe te voegen als dat nodig is. In de meeste gevallen moet je cron gewoon de uitvoer van je commando ‘ s laten loggen.