depanarea este unul dintre principalele motive pentru care oamenii creează jurnale. Când apare o problemă, veți dori să o diagnosticați pentru a înțelege de ce sa întâmplat și care a fost cauza. Un mesaj de eroare sau o succesiune de evenimente vă pot oferi indicii despre cauza principală, pot indica modul de reproducere a problemei și vă pot ghida către soluții. Această secțiune prezintă scenarii în care puteți utiliza jurnalele Linux pentru depanare.,din motive de securitate, poate doriți să știți ce utilizatori s-au conectat sau au încercat să se conecteze la sistemul dvs. Puteți verifica jurnalele de autentificare pentru încercări eșuate, care apar atunci când utilizatorii furnizează acreditări incorecte sau nu au permisiunea de a se conecta. Acest lucru apare adesea atunci când utilizați SSH pentru acces la distanță sau când utilizați comanda su pentru a rula o comandă ca alt utilizator. Aceste tipuri de evenimente de autentificare sunt înregistrate de modulul de autentificare conectabil (Pam)., Evenimentele eșuate conțin adesea șiruri precum „parolă eșuată” și „utilizator necunoscut”, în timp ce evenimentele de autentificare reușite conțin adesea șiruri precum „parolă acceptată” și ” sesiune deschisă.Exemple de evenimente de eșec includ:
Exemple de conectări reușite includ:
dacă dorim să aflăm care conturi de utilizator au cele mai multe conectări eșuate, trebuie mai întâi să extragem numele de utilizator din jurnalul auth. Vom folosi comenzile grep, cut, sort și uniq pentru a face acest lucru., Grep returnează linii care conțin „utilizator nevalid”, taie extrage numele de utilizator, ordine de sortare lista de nume, și Uniq numără numărul de nume unice:
alte aplicații și servicii pot utiliza diferite formate, astfel încât va trebui să se adapteze această comandă pentru fiecare aplicație. Sistemele de gestionare a jurnalelor pot face acest lucru în mod eficient pentru dvs. prin analizarea automată a câmpurilor precum numele de utilizator. Acest lucru vă permite să vizualizați și să filtrați rapid conectările eșuate cu un singur clic. În acest exemplu, putem vedea că utilizatorul rădăcină a încercat să se conecteze de peste 300 de ori.,
nume de utilizator asociate cu încercări de conectare eșuate afișate în câmpul dinamic Loggly explorer.
sistemele de gestionare a jurnalelor vă permit, de asemenea, să vizualizați grafice în timp pentru a observa tendințe neobișnuite. Dacă cineva a avut una sau două conectări eșuate în câteva minute, este posibil ca un utilizator real să-și fi uitat parola. Cu toate acestea, dacă există sute de autentificări eșuate sau toate sunt nume de utilizator diferite, este mai probabil ca cineva să încerce să atace sistemul. Aici puteți vedea o creștere bruscă a încercărilor de conectare ca administrator., Aceasta nu este în mod clar o utilizare legitimă a sistemului.
creșterea bruscă a autentificărilor root. © 2019 SolarWinds, Inc. Toate drepturile rezervate.
cauza
cauza Repornirilor
uneori, un server se poate opri din cauza unui accident de sistem sau a unei reporniri. De unde știi când sa întâmplat și cine a făcut-o?
comandă de închidere
dacă cineva a rulat manual comanda de închidere, o puteți vedea în fișierul jurnal auth. Aici puteți vedea că cineva s-a conectat de la distanță ca utilizator ubuntu și apoi a închis sistemul.,dacă doriți să vedeți când serverul repornit, indiferent de motiv (inclusiv accidente), puteți căuta fișierul jurnal kernel (/var/log/kern.log). Syslog aplică, de asemenea, facilitatea” kern ” pentru jurnalele de kernel. Următoarele jurnale au fost generate imediat după boot. Notă marcajul de timp dintre paranteze este 0: aceasta urmărește perioada de timp de la pornirea kernel-ului. De asemenea, puteți găsi jurnalele de pornire căutând „BOOT_IMAGE”.,
detect
Detect probleme de memorie
există mai multe motive pentru care un server s-ar putea prăbuși, dar o cauză comună rămâne fără memorie.când memoria RAM și spațiul swap sunt complet epuizate, kernel—ul va începe să ucidă procesele-de obicei cele care folosesc cea mai mare memorie și cea mai scurtă durată. Eroarea apare atunci când sistemul dvs. utilizează toată memoria și un proces nou sau existent încearcă să acceseze memorie suplimentară. Uita-te în fișierele jurnal pentru siruri de caractere, cum ar fi „din memorie” sau pentru avertismente kernel., Aceste șiruri indică faptul că sistemul dvs. a ucis intenționat procesul sau aplicația, mai degrabă decât să permită procesului să se prăbușească.
Exemple:
rețineți că grep în sine folosește memoria, astfel încât s-ar putea provoca o eroare în afara memoriei doar prin rularea grep. Acesta este un alt motiv pentru care este o idee fabuloasă să vă centralizați jurnalele!
cron
logare erori Cron Job
daemonul cron este un programator care rulează comenzi la datele și orele specificate. Dacă procesul nu se execută sau nu se termină, atunci apare o eroare cron în fișierele jurnal., Puteți găsi aceste fișiere în /var/log/cron, /var/log/messages și /var/log/syslog în funcție de distribuție. Există multe motive pentru care un loc de muncă cron poate eșua. De obicei, problemele se află mai degrabă în proces decât în daemonul cron în sine.
în mod implicit, joburile cron ies în syslog și apar în fișierul /var/log/syslog. De asemenea, puteți redirecționa ieșirea comenzilor cron către o altă destinație, cum ar fi ieșirea standard sau un alt fișier. În acest exemplu, punem „Hello world” la comanda logger., Acest lucru creează două evenimente jurnal: unul din cron, și unul din comanda logger. Parametrul-t setează numele aplicației pe „helloCron”::
$ crontab -e*/5 * * * * echo 'Hello World' 2>&1 | /usr/bin/logger -t helloCron
care creează intrările din jurnal:
fiecare job cron se va conecta diferit în funcție de tipul specific de job și de modul în care emite date. Sperăm că există indicii pentru cauza principală a problemelor din jurnalele, sau puteți adăuga logare suplimentare după cum este necesar. În cele mai multe cazuri, ar trebui să lăsați cron să înregistreze ieșirea comenzilor Dvs.
A se vedea. Analizează-l. Inspectează-l. Rezolva-l
vezi ce contează.
începeți încercarea gratuită