Lokin listausta

Tähän tehtävään käytän minun palvelinta, koska siellä on varmasti paljon logi tietoa, mitä en ole katsonut… KOSKAAN. Odotan jo innolla näenkö onko joku yrittänyt ottaa konetta haltuun ja tehnyt sillä jotain. Tiedostot sisältävät /var/log hakemistossa. Tärkeimmiksi tiedostoiksi itse lukisin ainaskin auth.log -> seuraa kirjautumisia. kern.log -> seuraa ns. rautaa koneessa. syslog -> seuraa systeemiä, mitä kone tekee kokoajan.

Aloitan tarkastelun tunnilla opetetuilla komennoilla, tail,zgrep ja grep. zgrep on muuten sama kuin grep, mutta osaa avata myös .gz tiedostot

$ tail -F /var/log/syslog
Jan 28 05:00:41 serveri AptDaemon: INFO: Shutdown was requested
Jan 28 07:05:56 serveri CRON[12081]: (root) CMD (test -x /usr/sbin/anacron || ( cd / & &
run-parts --report /etc/cron.daily ))
Jan 28 07:58:39 serveri NetworkManager[745]: info (eth0): DHCPv4 state changed expire ->
preinit
Jan 28 07:58:53 serveri anacron[12095]: Will run job `cron.daily' in 5 min.
Jan 28 07:58:53 serveri anacron[12095]: Will run job `cron.weekly' in 10 min.

Sieltä tuli aika paljon kaikkea, mutta nämä oli minusta kiinostavimmat. Huomaan että päivitin järjestelmää ennenkuin aloitin tehtävän. Sain myös selville että croni oli aloittamassa kohta hommansa. seuraavaksi yritän käyttää komennon mukana myös komentoa grep/zgrep.

en saanut komentoani toimimaan. Hain tällä koodilla sitä että jättäisi kattomatta kansiot.

$ tail -F * |grep --directories=skip

Homma jatkuu. Otin kannettavallani yhteyttä Palvelimeen ja yritin päästä väärällä käyttäjätunnuksella sisään. En kuitenkaan päässyt, ”Yllätys” ja seurasin samalla logia palvelimessa.

$ tail -f auth.log
Jan 28 08:20:31 serveri gnome-screensaver-dialog: pam_smbpass(gnome-screensaver:auth):
Cannot access samba password database, not running as root.
Jan 28 08:20:31 serveri gnome-screensaver-dialog: gkr-pam:
the password for the login keyring was invalid.
Jan 28 08:31:53 serveri sshd[12496]: Invalid user min\344 from 192.168.0.13
Jan 28 08:31:53 serveri sshd[12496]: Failed none for invalid user min\344 from
192.168.0.13 port 49480 ssh2
Jan 28 08:31:58 serveri sshd[12496]: pam_unix(sshd:auth): check pass; user unknown

otin mukaan myös ylimmän rivin. En varsinaisesti tiedä mitä siinä tapahtuu? Otin tuohon aikaa yhteyttä kannettavalla palvelimeen, jossa on myös samba palvelu käytössä. Pääsin ihan hyvin kansioihin ja tiedostoihin käsiksi. Tosin kannettava pyysi aluksi salasanaa.

Prosessien hallinta

Lopetin kaikki eilisen päivän komennot silleen, että ne jäi pyörimään ”taustalle”. Tämän ansiosta sain täksi päiväksi enempi tavaraa prosessipuuhun, jos se nyt on sille oikea sana.

$ PS
PID TTY          TIME CMD
 3254 pts/3    00:00:00 ps
11158 pts/3    00:00:00 bash
11289 pts/3    00:00:06 lshw
11290 pts/3    00:00:00 less
11545 pts/3    00:00:00 less
12124 pts/3    00:00:00 tail
12131 pts/3    00:00:00 tail
12307 pts/3    00:00:00 grep
12375 pts/3    00:00:00 tail
12483 pts/3    00:00:00 tail
12493 pts/3    00:00:00 tail
12557 pts/3    00:00:00 tail
12565 pts/3    00:00:00 tail

Siellä oli noin 40 prosessia kesken, mutta en viittinyt kaikki laittaa tänne. Tämän jälkeen aluksi poistin yhden prosessin komennolla kill ja prosessin pid numero. Sen jälkeen rupesin poistamaan prosesseja nimen perusteella(poistaa kaikki samannimiset prosessit).

$ kill 12565
$ killall -9 tail

Laitoin tähän mitä sen jälkeen tuli ruudulle.

tail(12148): Toiminto ei ole sallittu
tail(12156): Toiminto ei ole sallittu
[3]   Tapettu                 tail -f /var/log/syslog  (työhakemisto: ~)
(työhakemisto nyt: /var/log)
[4]   Tapettu                 tail -f /var/log/*  (työhakemisto: ~)
(työhakemisto nyt: /var/log)
[7]   Tapettu                 tail -F /var/log/*
[8]   Tapettu                 tail -f *
[9]   Pysäytetty             tail -f * | grep --color=auto -v '*'
[10]-  Pysäytetty             tail -f * | grep --color=auto -v '/'
[11]+  Pysäytetty             tail -f * | grep --color=auto -v /
[12]   Tapettu                 tail -f *
[13]   Tapettu                 tail -f auth.log
[14]   Tapettu                 tail -f auth.log
[15]   Tapettu                 tail -f syslog

ja homma jatkuu…

$ killall -9 grep
$ killall -9 zgrep
$ kill 11289
$ killall -9 less

Käytin komennon perässä -9, joka vastaa myös sanaa kill. Eli lopettaa prosessin väkisin. Tämän jälkeen ps komenon sisältö näyttikin paremmalta.

$ PS

PID TTY          TIME CMD
 3254 pts/3    00:00:00 ps
11158 pts/3    00:00:00 bash
$ jobs
--- Näyttää tyhjää ---

Kommentoi ensimmäisenä

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *