Vérifiez les journaux de démarrage et de connexion du serveur Linux.


Si vous avez des questions sur les redémarrages, les arrêts ou les connexions sur votre serveur Linux, cette commande vous aidera. Qu’ils soient hébergés chez un tiers (OVH, Gandi, etc.) ou dans votre entreprise, vous devez connaître l’existence de ces deux fichiers : wtmp et btmp.

Vérifiez les journaux de démarrage et de connexion du serveur Linux.

Sous Linux, la commande Dernier Permet de lire le contenu du fichier /var/log/wtmp et /var/log/btmp.

Pour connaitre la date et l’heure d’arrêt de la machine, il suffit de taper la commande :

#dernier -x arrêt

On voit ici qu’à partir du 1er décembre 2013, la machine s’est arrêtée une fois le 4 janvier 2014.

Pour connaitre la date et l’heure de redémarrage de la machine, il suffit de taper la commande :

#dernier -x redémarrage

Nous voyons ici que la dernière date de redémarrage était le 4 janvier 2014.


information! ! ! Le paramètre –x affiche également les arrêts du système et les changements de niveau d’exécution.

Ce fichier wtmp Contient les journaux de toutes les connexions et déconnexions du système (arrêts, redémarrages).

Ce fichier .btmp Contient toutes les connexions échouées à votre système.

Ces fichiers ne peuvent pas être lus directement à l’aide d’un éditeur de texte de type vi ou vim.

Voici un exemple de fichier btmp :

Ah oui, récupérer des informations n’est pas facile.

Pour mieux lire le fichier, vous devez utiliser la commande suivante (vous pouvez utiliser la même commande pour les fichiers wtmp) :

A Voir  Les réseaux sociaux affectent nos relations

#dernier –f /var/log/btmp

  • 1: La connexion est utilisée pour se connecter à votre machine.
  • 2 : Le type de connexion utilisé, ici c’est ssh
  • 3 : Adresse IP du pirate
  • 4 : Date de la tentative de connexion

Comme vous pouvez le voir ici, l’ip 117.79.157.110 utilise la force brute pour restaurer l’accès à ma machine.

Configurer la rotation des fichiers journaux

Vous pouvez définir la période de conservation de ces journaux.Pour ce faire, vous devez modifier le fichier /etc/logrotate.conf.

Ce qui nous intéresse ici, ce sont les lignes surlignées en jaune. Voici quelques explications sur ces lignes :

  • par mois: La rotation aura lieu mensuellement. Nous pouvons également échanger quotidiennement contre quotidien et hebdomadaire contre hebdomadaire.
  • Créez l’utmp racine 0664 : Le fichier auxiliaire créé aura la racine comme créateur, appartiendra au groupe utmp et disposera de 664 autorisations.
  • Dézoomer: Demande la rotation du journal si le fichier a au moins la taille définie par cette variable.
  • Taille: Les fichiers ne seront archivés que si leur taille dépasse la valeur définie ici.
  • Rotation 1 : Nous conserverons 1 fichier journal
  • Disparu: Indique qu’un fichier journal manquant n’est pas une exception. Si cette option n’est pas activée, l’administrateur recevra un e-mail lorsque le journal est perdu.

D’autres paramètres existent, tels que :

  • compression: Les fichiers journaux secondaires, c’est-à-dire tout ce qui n’est pas le fichier journal principal, seront compressés.
  • Compression retardée : Différer le compactage du journal précédent jusqu’au prochain cycle de permutation. Ceci n’est valable qu’en combinaison avec l’option de compression. Il peut être utilisé lorsque le programme ne peut pas être invité à fermer son journal et peut donc continuer à écrire dans le journal précédent pendant un certain temps.
  • notifier : Autoriser le journal à ne pas être échangé lorsque le journal est vide
  • prérotation, postrotation/endscript : Les lignes entre prerotate et endscript (chaque ligne doit apparaître sur une ligne distincte) seront exécutées avant la rotation du journal.Ces directives doivent apparaître dans la définition du journal
A Voir  Comment utiliser la commande DNSCMD pour résoudre l'erreur DHCID not mine.

Pour d’autres options, vous pouvez demander à quelqu’un à cette adresse : homme logrotate.

Pour avoir un peu d’historique, j’ai configuré la rotation de cette manière :

Dans l’exemple ci-dessus, la rotation se produit après un an, sauf si la taille du fichier atteint 15 Mo. Par défaut (les cinq premières lignes), la période de rotation est d’une semaine et la période de stockage est de 1 mois (rotation 4).

Une fois la configuration de votre logrotate terminée, vous pouvez l’appliquer de la manière suivante :

#logrotate -f /etc/logrotate.conf

ou pour débugger :

#logrotate -d /etc/logrotate.conf

Si vous souhaitez apprendre d’autres commandes ou astuces utiles sous Linux, vous pouvez vous référer à ce tutoriel : Réglage et dépannage des serveurs Linux.