четверг, 15 января 2009 г.

Наблюдение за системой в Linux

Взято с Хабрахабр.
Несколько лог-файлов:
  • /var/log/acpid — служба, которая отвечает за питание (acpi для intel);
  • /var/log/boot.log — журнал загрузки системы;
  • /var/log/cron — планировка событий;
  • /var/log/messages — сообщения системы (ядра);
  • /var/log/Xorg.*.log — графическая подсистема (X-сервер Xorg);
  • /var/log/cups/* — система печати cups (достаточно популярная и широкораспространенная);
Изменения в файлах.

Очень хорошим инструментом для выявления факта модификации файлов является стандартная программа find. Разумное использование параметра mtime поможет установить изменения в файловой системе, например, команда
find /etc -mtime -1

покажет файлы, которые были изменены в течение последних суток. Очень хорошо поиск файлов по различным временам описан в Unix find tutorial.


Анализ процессов:
  • top
  • ps

Анализ сети:
  • nmap
  • tcpdump
  • netstat
  • fuser
  • lsof

Анализ файловой системы:
  • find
Из комментов:
Я бы все-таки убрал из текста упоминание про «nmap localhost».
Гораздо разумнее воспользоваться помянутым «netstat -l», только добавить еще к нему:
* -A inet, чтобы выкинуть unix сокеты (а то их сильно много бывает)
* -p, чтобы видеть слушающий процесс (будут видны не все процессы, а только свои)
* -n, чтобы видеть цифири вместо буков там где порты (это по желанию)

Я обычно использую набор
netstat -ntap.

Будут еще и установленные соединения.
А их на загруженном сервере может быть много.

лучше netstat -tpln
список tcp-сокетов, в состояний LISTEN, с именем и pid процесса, без резолвинга имени хоста(чтобы не заскучать).


netstat -tupan
главное — легко запоминается, хотя работает только на линуксе. для юниксов нужно убрать -p

От себя:
Использование памяти — free -m
Информация о процессоре — cat /proc/cpuinfo
Сколько там у нас траффика на интерфейсе — ifconfig ppp0
Как там дела со свободным местом — df -h

Можно не выходя из top убить процесс, просто жмем k, а потом PID номер.

Можно еще для убийства процесса использовать pkill. Принимает имя процесса, а не его PID в качестве аргумента.
Смотреть вывод команды каждые N раз — watch.
killall также по имени снимает


Если говорить конкретнее, на сайте очевидно сидит какой-то червь и систематически дописывает в индексные файлы всякую хрень, админы хоста морозятся как могут (
вроде auditd умеет
Автор: на
Ярлыки: , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)