注意:
在触发 Kdump 之前要先开启 Kdump:
正文:
步骤一:在本地登录系统
(步骤略)
步骤二:强制同步屏幕
同时按下 “Left” 键和 “Alt” 键和 “Print Screen” 键和 “s” 键
步骤三:触发 Kdump
同时按下 “Left” 键和 “Alt” 键和 “Print Screen” 键和 “c” 键
在触发 Kdump 之前要先开启 Kdump:
(步骤略)
同时按下 “Left” 键和 “Alt” 键和 “Print Screen” 键和 “s” 键
同时按下 “Left” 键和 “Alt” 键和 “Print Screen” 键和 “c” 键
在排除 SFTP 登录记录只监控普通登录记录前要先开启 SFTP 日志:
作者:朱明宇
名称:监控普通登录记录 (排除 SFTP 登录记录只监控普通登录记录)
作用:监控普通登录记录 (排除 SFTP 登录记录只监控普通登录记录)
1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本
4. 普通登录记录会同时记录在系统日志和 $logfile 里
1. logfile=logfile.txt #用户保存记录的文件
2. prompt=”and no sftp info” #记录里普通登录记录的文件
#!/bin/bash
####################### Separator ########################
logfile=logfile.txt
prompt="and no sftp info"
####################### Separator ########################
checktime=`date +%Y-%m-%dT%H -d "-1 day"`
for i in `cat -n /var/log/messages | grep $check_time | grep 'Started Session' | grep -v 'root' | awk '{print $1}'`
do
line=`sed -n $[i]p /var/log/messages`
time=`echo $line | awk '{print $1}'`
session=`echo $line | awk '{print $6}'`
user=`echo $line | awk '{print $9}'`
user=${user%.}
message="ACCESS CHECK LOG: Time:$time Session:$session $user has accessed `hostname`, $prompt"
let sftpline=i+3
sed -n $[sftpline]p /var/log/messages | grep sftp-server &> /dev/null
if [ $? -ne 0 ];then
echo $message
echo $message >> $logfile.txt
logger $message
fi
echo
done
# logger [This is test message]
(补充:这里以往系统日志里写入一条包含 This is test message 内容的信息为例)
# grep "This is test message" /var/log/messages
(补充:这里在系统里查找一条包含 This is test message 内容的信息为例)
# rpm -qa | grep crash || dnf install crash ; rpm -qa | grep kernel-debug || dnf install kernel-debug
# vim /etc/default/grub
在这一行里:
GRUB_CMDLINE_LINUX_DEFAULT="......"
添加:
GRUB_CMDLINE_LINUX_DEFAULT="...... crashkernel=auto"
(
补充:这里的 auto 代表系统会根据内存大小自动设置一个值,也可以指定一个值,例如:crashkernel=128M,high、crashkernel=256M,high 等等。如果设置成一个固定值,建议
1) 1 GB 到 4 GB 内存设置成 160 M
2) 4 GB 到 64 GB 内存设置成 192 M
3) 64 GB 到 1 TB 内存设置成 256 M
4) 大于 1 TB 内存设置成 512 M
)
# grub2-mkconfig -o /boot/grub2/grub.cfg;reboot
# makedumpfile --mem-usage /proc/kcore
# echo 1 > /proc/sys/kernel/sysrq
# echo c > /proc/sysrq-trigger
# cd /var/crash/<date>/
# crash vmlinux-2.6.32.12-0.7-default vmcore
(补充:这里以使用 2.6.32.12-0.7-default 版本的 kernel-debuginfo 解析为例)
# ls vmlinux-2.6.32.12-0.7-default.gz
(注意:如果这里生成了 vmlinux-2.6.32.12-0.7-default.gz 压缩包的话,这里会有 vmlinux-2.6.32.12-0.7-default.gz 信息的显示)
(补充:这里以确认 2.6.32.12-0.7-default 版本的 kernel-debuginfo 生成的压缩包为例)
# gzip -d vmlinux-2.6.32.12-0.7-default.gz
(补充:这里以解压 2.6.32.12-0.7-default 版本的 kernel-debuginfo 生成的压缩包为例)
(步骤略)
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/managing_monitoring_and_updating_the_kernel/analyzing-a-core-dump_managing-monitoring-and-updating-the-kernel
/var/run/utmp
# who
或者:
# w
或者:
# users
/var/log/wtmp
# last
(注意:last 命令显示用户时最多只会显示前 8 个字符)
或者:
# ac
/var/log/lastlog
# lastlog
/var/log/btmp
# lastb
/var/log/messages
/var/log/secure