如果服务器失去互联网连接,哪些系统日志可能会告诉我?

如果服务器失去互联网连接,哪些系统日志可能会告诉我?

我有一个服务器:

CentOS Linux release 7.3.1611 (Core)
3.10.0-514.2.2.el7.x86_64 #1 SMP Tue Dec 6 23:06:41 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

我认为它的网络连接曾经一度中断(现在又回来了)。我在 /var/log/messages 中找不到任何内容 - 也许我只是不知道要寻找什么?

本质上我正在寻找两件事:如果网卡有问题,如果服务器失去了互联网连接。

第二个显然更难弄清楚(也许不可能?)。显然我应该有一些外部监控解决方案,但从教育的角度来看,您会在哪里(在主机本地)寻找来解决这个谜团?

答案1

检查环内核缓冲区 ( dmesg) - 您应该看到网络连接事件的信息。

答案2

如果 NIC 丢失其链接,您的内核日志(可查看的最新日志dmesg、较旧的日志journalctl -k或在 中配置的任何位置)可能会包含消息。/etc/rsyslog.conf当然,您可以通过拔掉电缆轻松找到这些消息的样子。例子:

Jan 13 11:16:33 Zia kernel: r8169 0000:07:01.0 lan: link down

失去互联网连接会更加困难,通常您会设置一些东西来检测这种情况(外部监视或从您的计算机监视外部计算机)。它也不是真正的二进制状态——您可以拥有部分互联网连接(可以到达某些主机,但不是全部)。不过,您可以寻找线索:

  • 日记/日志中来自 NTP 的消息(例如,关于丢失对等点),或检查 NTP 对等点统计信息(如果启用)。
  • 日志/日志中有关网络连接失败的消息(例如,如果您定期运行 fetchmail,它会抱怨无法连接到您的 POP3 服务器)
  • VPN 连接中断(当 Internet 连接中断时,我会收到大量 OpenVPN 日志)。
  • Web(等)服务器上突然出现 0 负载。许多服务器将收到的所有请求记录到某些特定于服务器的日志中。
  • 同样,如果您记录系统负载(平均负载、运行队列等),快速下降到 0 就是一个线索。
  • 防火墙日志中没有噪音(至少,如果您记录被阻止的数据包)
  • 突然缺乏随机蠕虫攻击(我从正在运行的各种服务中收到大量失败的身份验证消息,并且几个小时内没有收到任何消息将是没有互联网连接的一个很好的线索)
  • 流量级别,如果您正在监控(例如,使用 Cacti、MRTG、collectd 等)。如果您不是,您的 ISP 可能是——也许他们愿意分享?
  • 如果您有其他机器与该机器通信,请检查这些机器的日志。可能有失败消息
  • 如果您向其他人提供服务,他们可能会有日志。
  • 如果您有支持台,他们可能知道(从他们接到的所有电话中)。

基本上,你正在做侦探工作:你需要寻找线索。没有监控就不可能有互联网已关闭记录消息。

相关内容