今天早上我们的系统离线了。系统日志中只有以下内容:
Mar 20 15:27:15 fooserver systemd[1]: Received SIGINT.
Mar 20 15:27:15 fooserver systemd[1]: Starting Synchronise Hardware Clock to System Clock...
Mar 20 15:27:15 fooserver systemd[1]: Stopping system-ifup.slice.
Mar 20 15:27:15 fooserver systemd[1]: Removed slice system-ifup.slice.
Mar 20 15:27:15 fooserver rsyslogd: [origin software="rsyslogd" swVersion="8.4.2" x-pid="579" x-info="http://www.rsyslog.com"] exiting on signal 15.
然后需要等待五个小时才能手动重新启动。
当它恢复正常时,一切都正常运行。
没有其他日志文件(我在 /var/log 中的所有内容中查找了这个时间段)显示任何异常。
目前我得到的最佳信息是有人在设备室里(意外地)按下了按钮。但这种说法站不住脚。只有少数人可以访问,而且我认为当时现场没有人。
还有其他地方可以查找此信息吗?或者,也许我可以设置其他任何内容来监控此信息,以便下次使用?
我目前正在屏幕上运行此命令,试图在下次捕获它:
sysdig -p '%proc.pname[%proc.ppid]: %proc.name -> %evt.type(%evt.args)' evt.type=kill