systemd, rsyslogd – где находятся журналы?

Я получил установку Fedora 23 Server edition, которую я практически ничего не делал с администрацией, помимо настройки ssh , fail2ban , samba и пользователей.

На днях я был полностью заблокирован из своей системы с сообщением ssh_exchange_identification: read: Connection reset by peer который с помощью какого-то googling привел меня к ssh_exchange_identification: read: Connection reset by peer

Поэтому я предположил, что fail2ban с запретом. Нет biggie, просто войдите в машину «физически» и перезагрузите их. Попытавшись сделать это, я вижу, что моя консоль заливается сообщением журнала (которое я не могу вспомнить, «systemd.service что-то что-то только для чтения»). Это наводнение сделало невозможным вход в систему. Я начал вводить свои учетные данные, только чтобы он был сломан, потому что сообщение журнала было напечатано и сбросило учетные данные.

Я был вынужден жестко перезагрузиться, т.е. нажмите кнопку сброса / удерживайте кнопку питания на аппарате.

Поскольку я хочу разобраться в сути проблемы и выяснить, в чем была проблема, я сделал несколько операций по ловушке. Однако, похоже, я не могу найти причину.

Если я делаю journalctl --since 2016-04-10 я получаю следующее

 Apr 10 12:19:32 Server smartd[620]: Device: /dev/sdc [SAT], 47 Currently unreadable (pending) sectors -- Reboot -- Apr 11 20:27:53 Server systemd-journal[148]: Runtime journal is using 8.0M (max allowed 81.0M, trying to leave 121.5M free of 802.5M available → current limit 81.0M). 

Я отбросил все журналы, когда я предположил, что троицы начались, пока я не выполнил жесткую перезагрузку. (Привод /dev/sdc дал эту ошибку, так как я получил ее)

Я также читал на https://freedesktop.org/wiki/Software/systemd/Debugging/, что вы должны проверить /var/log/messages для журналов.

Соответствующие части, которые я вижу,

 Mar 6 18:52:49 Server audit: USER_AUTH pid=3435 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=183.3.202.108 addr=183.3.202.108 terminal=ssh res=failed' Apr 11 20:28:46 Server rsyslogd-2177: imjournal: begin to drop messages due to rate-limiting Apr 11 20:39:15 Server rsyslogd-2177: imjournal: 91404 messages lost due to rate-limiting Apr 11 20:39:15 Server dnf: repo: using cache for: rpmfusion-free 

Который говорит мне, что было 91404 сообщений журнала. Однако я не могу найти ни одного из них. Насколько я могу судить.

Поскольку я хочу знать, что на самом деле «сломало» мою систему, есть ли где-нибудь еще, что журналы могут быть сохранены? Или мне просто нужно молиться, чтобы звезды не выровнялись, чтобы снова вызвать ту же проблему?

  • Может ли зависимость systemd применяться только к действию «ExecStart» устройства?
  • универсальная методология для отладки циклов упорядочения в systemd
  • Настройка параметров инициализации пакета пакета opendkim Debian при наличии сценариев init.d и systemctl
  • фиксация / dev / ttyUSB
  • Предупреждение SELinux: Почему начинается отрубание имени процесса?
  • Как запустить программу в контейнере как службу с помощью systemd-nspawn, systemd-run?
  • Запустить второй X-сервер из X в качестве службы systemd
  • CoreOS не может вытащить контейнер для докеров
  • One Solution collect form web for “systemd, rsyslogd – где находятся журналы?”

    ПРИМЕЧАНИЕ: без дополнительных доказательств, подтверждающих мое подозрение, это всего лишь гипотетическая спекуляция.

    Вы упомянули, что видели что-то о «readonly». Возможно, ваша система столкнулась с невосстановимым повреждением или аппаратной ошибкой на диске (или кабелем или интерфейсом sata и т. Д.) И повторно установила корневую файловую систему как только для чтения, чтобы предотвратить дальнейшее повреждение / повреждение.

    Наиболее важными вещами, которые вам необходимо выполнить, являются: 1. убедитесь, что ваши резервные копии обновлены, 2. тщательно протестируйте свой диск (ы) (например, с помощью теста smartctl ) или он / они могут сработать.

    Но вернемся к проблеме ведения журнала:

    Если корневой файл fs (или /var/log ) доступен только для чтения, то никакие журналы не будут записаны на диск.

    Если у вас есть другая система, вы можете пересылать сообщения журнала, я бы рекомендовал настроить rsyslog для регистрации как локальных файлов, так и удаленной системы. Эта машина также может предоставлять ту же услугу удаленной системе.

    например, на двух моих системах ( ganesh и kali ), у меня есть следующее в /etc/rsyslog.d/00remote.conf :

     $ModLoad imudp # provides UDP syslog reception $UDPServerAddress 0.0.0.0 $UDPServerRun 514 if $fromhost-ip == '127.0.0.1' and $syslogfacility-text == 'kern' then @kali 

    Это файл, как на ganesh . на kali , он идентичен, за исключением того, что @kali заменяется на @ganesh .

    Это пересылает все kern журнала kern объекта, которые исходят из локального хоста на удаленный хостинг. Проверка IP-адреса предотвращает крах удаленного цикла регистрации.

    Существуют и другие способы настройки удаленного ведения журнала с помощью rsyslog , включая rsyslog основе tcp а не udp . Это всего лишь первый метод, который я пробовал, когда мне это нужно было много лет назад – он работал, и был прост, и мне еще не нужно было его менять. Поиск на этом сайте для других методов и более подробной информации.

    BTW, убедитесь, что входящий трафик для порта udp 514 заблокирован на вашем брандмауэре.

    Interesting Posts

    Как найти основную причину «перегрузки процессора NetIq CPU» в Linux

    Как подключить почту (1) к моей учетной записи Gmail / Yahoo / Hotmail?

    Как фильтровать членство в группе с сервера ldap?

    эквазонное перемешивание и сжатие?

    В то время как цикл занимает больше времени для завершения

    Подсчет последовательных повторений определенного символа (например,)

    как я recursivley grep (или иначе искать) шестнадцатеричные строки

    сбой systemd на binfmt-сервисах

    Не удается запустить roundcube

    Debian Wheezy Потеря видеосвязи при загрузке

    Возобновление прерванного процесса копирования

    Почему изменение $ PATH влияет на дочерние оболочки, но с изменением $ foo нет?

    Как я могу позволить пользователю приоритизировать процесс с отрицательной привлекательностью?

    Замените шаблон в файле длинной строкой

    Могу ли я прочитать, какие CCFLAGS использовались для создания двоичного файла?

    Linux и Unix - лучшая ОС в мире.