我有几乎每天执行重新启动的VPS。 我终于今天得到了从我的日志中得到线索
May 12 03:14:49 sshd[19379]: Did not receive identification string from 173.212.118.167 May 12 03:25:03 sshd[19489]: Did not receive identification string from 82.248.74.71 May 12 03:25:15 sshd[19493]: Did not receive identification string from 98.249.28.85 May 12 03:30:25 shutdown[19545]: shutting down for system halt May 12 03:30:29 init: Switching to runlevel: 0 May 12 03:30:34 saslauthd[1654]: server_exit : master exited: 1654 May 12 03:30:34 sshd[1656]: Received signal 15; terminating. May 12 03:30:34 sshd[1655]: Received signal 15; terminating. May 12 03:30:35 kernel: Kernel logging (proc) stopped. May 12 03:30:35 kernel: Kernel log daemon terminating. May 12 03:30:35 syslog-ng[364]: Termination requested via signal, terminating; May 12 03:30:35 syslog-ng[364]: syslog-ng shutting down; version='3.2.2' May 12 03:34:23 syslog-ng[388]: syslog-ng starting up; version='3.2.2' May 12 03:34:24 ifup: lo May 12 03:34:24 ifup: lo May 12 03:34:24 ifup: IP address: 127.0.0.1/8 看起来像一个进程主动执行重新启动。 这似乎每天都在同一时间发生。 幸运的是,停机时间很短。
我已经检查过cron作业,看看有没有相关的条目,但是没有。 奇怪的是,重启通常是在运行级别6而不是0的情况下执行的。运行级别0应该closures服务器,但是在几秒钟之内重启。
我能做些什么来find更多关于这个?
根据你的日志,某些东西正在调用shutdown工具来执行关机。 我会(暂时)用logging一堆信息的脚本replace/sbin/shutdown ,如下所示:
#!/bin/bash set > /shutdown.env ps auxfwww > /shutdown.ps
然后,您可以在/shutdown.env查找PPID= ,并查看/shutdown.ps以查看该pid是什么。
(不要忘了在放置好之后,把chmod +x脚本运行一遍,为了确保它能正常运行,我会运行它)。
你的日志init: Switching to runlevel: 0这一行init: Switching to runlevel: 0并不意味着运行级别6没有被使用:可能是因为你的服务器重启。
检查last reboot ,看看它是否是一个常规的事件。 如果是这样,请重新检查所有的cron作业; 最后还会告诉你当服务器重新启动时谁已经login。
检查sudo日志(您可能需要启用sudo日志logging)。
您也可以尝试使用审计机制auditctl -a entry,always -S reboot 这里描述