今天早上我们有一个系统下线。 系统日志中唯一的是:
Mar 20 15:27:15 fooserver systemd[1]: Received SIGINT. Mar 20 15:27:15 fooserver systemd[1]: Starting Synchronise Hardware Clock to System Clock... Mar 20 15:27:15 fooserver systemd[1]: Stopping system-ifup.slice. Mar 20 15:27:15 fooserver systemd[1]: Removed slice system-ifup.slice. Mar 20 15:27:15 fooserver rsyslogd: [origin software="rsyslogd" swVersion="8.4.2" x-pid="579" x-info="http://www.rsyslog.com"] exiting on signal 15. 然后五个小时的差距,直到手动重新启动。
当它恢复正常时,一切都按照原样运行。
没有其他的日志文件(我在/ var / log中的所有内容中都被grepped)显示出任何exception。
到目前为止,我所得到的最好的结果就是有人在机房里,不小心按下了button。 但是这很薄。 只有less数人有机会进入,当时我不认为有人在场。
有没有其他地方可以find这个? 或者,也许还有什么我可以设置为下一次监测?
sysdig -p '%proc.pname[%proc.ppid]: %proc.name -> %evt.type(%evt.args)' evt.type=kill