Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ   WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Ключевые слова: account, log, linux,  (найти похожие документы)

From: Roman Sozinov <http://sozinov.blogspot.com>;
Date: Mon, 3 Jan 2008 14:31:37 +0000 (UTC)
Subject: Инструментарий для анализа произошедшего в системе

Оригинал: http://sozinov.blogspot.com/2007/05/gnu-accounting-utilities.html

   The  GNU  Accounting  Utilities  (acct)  - набор из нескольких утилит,
   помогающих проанализировать произошедшие инциденты и обнаружить слабые
   места в работе сервера.

   Смысл  простой  -  вы  включаете  запись  всего происходящего, а потом
   анализируете    накопленные    данные    (файлы    /var/log/pacct    и
   /var/log/wtmp).  Слежение  происходит  на  уровне  ядра,  поэтому ядро
   должно  иметь соответствующую опцию (BSD-style process accounting) при
   сборке (мною опробованы стандартные ядра Debian 3.1, 4.0, Slackware 10
   -  с  ними  все  в  порядке).  В  Debian и Slackware - все элементарно
   ставится из репозитария - пакет acct.

   В данный набор входят следующие утилиты:

     * ac: выводит статистику о длительности сессии
     * accton: включает сбор данных
     * last: выводит данные о последних сессиях пользователей
     * lastcomm: выводит список запущенных комманд
     * sa: выводит статистику по аккаунтам пользователей


   Лучший  способ  рассказа  об  этих  утилитах  - пример ситуации. Итак,
   представьте себе, вы хорошо осведомлены о том, что происходит на ваших
   серверах,   накапливаете  статистику  (например,  по  snmp  с  помощью
   Cacti)  о  загрузке, использовании памяти и процессорного времени,
   приходите  утром  смотрите на графики и видите дикую нагрузку на вашем
   веб-сервере  ночью,  когда  обычно всё тихо. Естественно, первым делом
   идут   в   ход  обычные  логи  (/var/log/messages,  /var/log/auth.log,
   /var/log/syslog  и  .т.д.), но ситуация несколько осложняется - дело в
   том,  что  на веб-сервере запущен не только веб-сервис, но и с десяток
   других  (mail,  ftp,  ldap,  dns  и  т.д.).  Если  обычные логи ничего
   толкогого  не  говорят  и  вы  не  можете точно сказать, что за сервис
   вызвал такую нагрузку (да и сервис ли это был?), тогда в дело вступают
   Accounting  Utilities (естественно, если вы прежде включили накопление
   результатов :) )

             # lastcomm -f /var/log/pacct.1 > ~/lastcomm.log


   Вывод будет примерно следующий:

             ...
             apachectl root ?? 0.01 secs Tue May 1 18:50
             lynx root ?? 0.01 secs Tue May 1 18:50
             awk root ?? 0.01 secs Tue May 1 18:50
             lynx root ?? 0.00 secs Tue May 1 18:50
             cat root ?? 0.00 secs Tue May 1 18:50
             httpd www ?? 0.13 secs Tue May 1 18:49
             httpd www ?? 0.12 secs Tue May 1 18:49
             httpd www ?? 0.15 secs Tue May 1 18:49
             httpd www ?? 0.17 secs Tue May 1 18:49
             httpd www ?? 0.25 secs Tue May 1 18:49
             httpd www ?? 0.14 secs Tue May 1 18:49
             httpd www ?? 0.14 secs Tue May 1 18:49
             httpd www ?? 0.25 secs Tue May 1 18:49
             httpd www ?? 1.56 secs Tue May 1 18:39
             httpd www ?? 0.13 secs Tue May 1 18:49
             httpd www ?? 0.14 secs Tue May 1 18:49
             httpd www ?? 0.23 secs Tue May 1 18:49
             httpd www ?? 1.92 secs Tue May 1 18:39
             proftpd root ?? 0.01 secs Tue May 1 18:49
             httpd www ?? 0.14 secs Tue May 1 18:49
             httpd www ?? 0.14 secs Tue May 1 18:49
             httpd www ?? 0.13 secs Tue May 1 18:48
             httpd www ?? 0.15 secs Tue May 1 18:48
             httpd www ?? 1.42 secs Tue May 1 18:39
             httpd www ?? 361.29 secs Tue May 1 18:30
             httpd www ?? 0.32 secs Tue May 1 18:45
             httpd www ?? 0.75 secs Tue May 1 18:45
             httpd www ?? 0.80 secs Tue May 1 18:45
             httpd www ?? 0.19 secs Tue May 1 18:47
             ...


   Колонки:  команда,  пользователь,  терминал,  время  выполнения, время
   старта  данной  команды  (еще  могут  быть  различные флаги, о которых
   написано в документации)

   Из  приведенного  выше  лога видно, что веб-сервер что-то выполнял 360
   секунд  (видимо  это  был  какой-то скрипт). Плюс число 360 - это явно
   какой-то  лимит,  видимо  веб-сервер  остановил  выполнение скрипта по
   истечению  timeout'а  в 360 секунд. Ну а дальше - дело техники - в лог
   файлах  выших  сайтов найти что за скрипт был остановлен (и не раз) за
   то, что повисал.

   Ссылки:
    1. Accounting Utilities Manual
    2. Как отследить запущенные пользователями программы

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

АКЦИЯ! ПОДПИШИСЬ на журнал Linux Format до 31 января 2012 года и выиграй СУПЕРПРИЗ! Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи. Каждый, кто оформит подписку, получает бонус- объёмные наклейки на системный блок и подарки: с одним из первых выпусков журнала в 2012 году- диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате. Подробнее о проведении акции вы можете прочитать на странице сайта.