我在 Linux 上使用 Red Hat 6.6 工作站。时不时(通常一天一次,有时一天两次)我会收到用户注销的消息。或者看起来像是用户注销的消息:屏幕变黑 1 秒钟,接下来我看到的是登录屏幕,我所做的所有工作和未保存的内容都丢失了。
我唯一确定的是,我没有自己注销。我不确定这是否是系统错误,我不确定是否有其他用户登录并将我踢出(我觉得这种情况不太可能,因为这是一个工作站,而不是服务器),我不确定是否有一些自动进程在后台运行并产生这种副作用。
虽然我对 Linux 环境有些熟悉,但对系统了解不多。我该如何检查问题的原因?我应该查看哪些日志?我应该查找什么?
答案1
这有点第 22 条军规情况。如果您是 root,您可以检查日志文件,但其他人不能将您踢出。但如果您不是 root,并且有人可以将您踢出,您就无法检查日志文件。
无论如何,要检查的日志文件是/var/log/auth.log,它将显示在你被踢出时谁(如果有的话)以 root 身份登录。
以下命令
grep -nrI "session closed for user YourName" /var/log
将提供您的断开连接的列表,包括准确的时间和日期,您可以将其与系统上每个用户的存在/缺席情况进行交叉关联。
您还可以检查系统日志文件,例如/var/log/dmesg和/var/log/syslog查找您断线前后发生的事件,以查看您遇到的是否是错误而不是恶作剧。
编辑:
抱歉,我忘了您说的是 RedHat。
Red Hat 系列发行版(包括 CentOS 和 Fedora)使用 /var/log/messages 和 /var/log/secure,而 Debian 系列发行版使用 /var/log/syslog 和 /var/log/auth.log。