Als ich einen Server untersuchte, der regelmäßig neu gestartet wird, begann ich, das Dienstprogramm „last“ durchzusehen, aber das Problem ist, dass ich nicht herausfinden kann, was die Spalten genau bedeuten. Ich habe natürlich das Dienstprogramm man durchgesehen, aber es enthält diese Informationen nicht.
root@webservice1:/etc# last reboot
reboot system boot 3.2.13-grsec-xxx Thu Apr 12 09:44 - 09:58 (00:13)
reboot system boot 3.2.13-grsec-xxx Thu Apr 12 09:34 - 09:43 (00:08)
reboot system boot 3.2.13-grsec-xxx Thu Apr 12 09:19 - 09:33 (00:13)
reboot system boot 3.2.13-grsec-xxx Thu Apr 12 08:51 - 09:17 (00:25)
reboot system boot 3.2.13-grsec-xxx Thu Apr 12 00:11 - 09:17 (09:05)
reboot system boot 3.2.13-grsec-xxx Wed Apr 11 19:40 - 09:17 (13:36)
reboot system boot 3.2.13-grsec-xxx Sun Apr 8 22:06 - 09:17 (3+11:10)
reboot system boot 3.2.13-grsec-xxx Sat Apr 7 14:31 - 09:17 (4+18:45)
reboot system boot 3.2.13-grsec-xxx Fri Apr 6 10:20 - 09:17 (5+22:56)
reboot system boot 3.2.13-grsec-xxx Thu Apr 5 00:16 - 09:17 (7+09:01)
reboot system boot 3.2.13-grsec-xxx Tue Apr 3 07:34 - 09:17 (9+01:42)
reboot system boot 3.2.13-grsec-xxx Tue Apr 3 02:31 - 09:17 (9+06:45)
reboot system boot 3.2.13-grsec-xxx Mon Apr 2 23:17 - 09:17 (9+09:59)
Die ersten Spalten machen bis zu den enthaltenen Kernel-Versionen Sinn. Was stellen diese Zeiten genau dar? Die letzte scheint die Betriebszeit zu sein.
Zweitens sollte dieser Server rund um die Uhr eingeschaltet sein, aber die Zeiten scheinen nicht zu stimmen, was bedeuten könnte, dass er Ausfallzeiten oder etwas Ähnliches hat. Wenn wir uns beispielsweise die beiden letzten Zeilen ansehen, bedeutet das, dass mein Server vom 2. April 09:17 bis zum 3. April 02:31 ausgeschaltet war?
Was die Hintergrundinformationen betrifft, dies ist ein Debian-Squeeze-Server.
BEARBEITEN
Wenn die letzten Spalten Startzeit, Stoppzeit und Betriebszeit sind, wie können Sie diese beiden Zeilen interpretieren:
reboot system boot 3.2.13-grsec-xxx Tue Apr 3 07:34 - 09:17 (9+01:42)
reboot system boot 3.2.13-grsec-xxx Tue Apr 3 02:31 - 09:17 (9+06:45)
Die zweite Sitzung scheint zu enden, nachdem die erste begonnen hat, was für mich keinen Sinn ergibt.
Antwort1
Ich schätze, das ist ein drei Jahre alter Beitrag, aber ich werde trotzdem antworten, zum Nutzen aller, die in Zukunft zufällig darauf stoßen, wie ich es erst kürzlich getan habe.
Aus dem Lesen anderer Beiträge und dem Überwachen der Ausgabe über einen bestimmten Zeitraum hinweg scheint es, als ob in jeder Zeile das Startdatum und die Startzeit der Sitzung, die Endzeit der Sitzung (aber nicht das Enddatum) und die Dauer der Sitzung (wie lange sie angemeldet waren) in einem Format wie folgt aufgeführt sind:
(Tage+Stunden:Minuten)
Es wird vermerkt, dass sich der Neustartbenutzer bei jedem Systemstart angemeldet hat und beim Neustart oder Herunterfahren des Systems abgemeldet hat. In diesen Zeilen gibt die Information zur „Sitzungsdauer“ die Zeitdauer (Tage+Stunden:Minuten) an, die diese „Sitzung“ gedauert hat, d. h., wie lange das System aktiv war, bevor es heruntergefahren wurde.
Bei mir zeigt der letzte Neustarteintrag die aktuelle Zeit als „Abmeldezeit“ an und die Daten zur Sitzungsdauer für diesen Eintrag stimmen mit der aktuellen Betriebszeitausgabe überein.
Also in dieser Zeile:
Systemstart 3.2.13-grsec-xxx neu starten Dienstag, 3. April 07:34 - 09:17 (9+01:42)
Das System wurde am Dienstag, dem 3. April, um 7:34 Uhr gestartet und 9 Tage, 1 Stunde und 42 Minuten später (am 12. April) um 9:17 Uhr morgens heruntergefahren. (Oder diese Ausgabe wurde zu diesem Zeitpunkt erfasst und dies ist der letzte Neustarteintrag, und „Reboot“ hat sich noch nicht wirklich „abgemeldet“. In diesem Fall ändert sich die Ausgabe, wenn Sie den letzten Befehl erneut ausführen.)
Warum es für den Neustartbenutzer am 3. April zwei Einträge gab, die beide 9 Tage lang waren, ist mir ein Rätsel; meine Systeme machen so etwas nicht.
Antwort2
Zusammenfassung
- Der erste Zeitstempel scheint der Zeitpunkt zu sein, zu dem das System während des Neustarts ausfiel.
- Der zweite Zeitstempel und die verstrichene Zeit sind nicht sehr nützlich.
- Das Übergeben der
-xOption anlastkann nützlich sein, um andere Ereignisse im Zusammenhang mit Herunterfahren und Änderungen der Ausführungsebene anzuzeigen, die die in denrebootZeilen angezeigten Zeitstempel beeinflussen. Dastuptimein einer anderen Antwort erwähnte Tool macht dies möglicherweise klarer, aber ich habe es mir nicht angesehen.
Einzelheiten
Auf der lastManpage zu CentOS 6 und 7 heißt es:
Der Pseudobenutzer „reboot“ meldet sich bei jedem Neustart des Systems an.
Es wird nichts darüber gesagt, wann sich der Benutzer abmeldet, und die unten gezeigten Beweise scheinen darauf hinzudeuten, dass keine Abmeldezeit explizit aufgezeichnet wird. Die Manpages rebootund shutdownenthalten weitere Einzelheiten zum Aufzeichnen der Runlevel-Änderungen, falls jemand daran interessiert ist.
Beim Testen scheint es so, als ob die Anmeldezeit aus der Spätphase des Herunterfahrvorgangs stammt und nicht aus der Zeit, als der rebootBefehl ausgegeben wurde.
Daher sollten die Abmeldezeiten (der zweite Zeitstempel) und die Dauer, für die „Reboot“ angemeldet war (in Klammern angegeben), wahrscheinlich ignoriert werden.
Wenn Sie die -FOption an übergeben last, werden Ihnen vollständige Zeitstempel angezeigt. Dadurch wird etwas deutlicher, dass die Maschine nicht zufällig zur gleichen Zeit neu gestartet wird, sondern nur ein paar Mal genau der gleiche Zeitstempel angezeigt wird. Wenn Sie das -xFlag übergeben, werden außerdem „Einträge zum Herunterfahren des Systems und Änderungen der Ausführungsebene“ angezeigt.
Hier habe ich es unter CentOS 7 ausgeführt und auch die -ROption zum Unterdrücken der Spalte Hostname/Kernelversion aktiviert. Außerdem habe ich einige uninteressante Root-Logins entfernt:
# date ; last -x -F -R
Mon Nov 12 01:10:44 UTC 2018
root pts/0 Mon Nov 12 00:02:57 2018 still logged in
runlevel (to lvl 3) Sat Nov 10 17:57:29 2018 - Mon Nov 12 01:10:44 2018 (1+07:13)
reboot system boot Sat Nov 10 17:57:12 2018 - Mon Nov 12 01:10:44 2018 (1+07:13)
runlevel (to lvl 3) Sat Oct 27 17:58:20 2018 - Sat Nov 10 17:57:29 2018 (13+23:59)
reboot system boot Sat Oct 27 17:58:03 2018 - Mon Nov 12 01:10:44 2018 (15+07:12)
runlevel (to lvl 3) Sat Jul 21 18:14:55 2018 - Sat Oct 27 17:58:20 2018 (97+23:43)
reboot system boot Sat Jul 21 18:14:16 2018 - Mon Nov 12 01:10:44 2018 (113+06:56)
runlevel (to lvl 3) Sun Nov 12 22:36:14 2017 - Sat Jul 21 18:14:55 2018 (250+19:38)
reboot system boot Sun Nov 12 22:35:35 2017 - Mon Nov 12 01:10:44 2018 (364+02:35)
root pts/0 Fri Nov 10 07:13:20 2017 - crash (2+15:22)
runlevel (to lvl 3) Sun Aug 27 04:15:56 2017 - Sun Nov 12 22:36:14 2017 (77+18:20)
reboot system boot Sun Aug 27 04:14:59 2017 - Mon Nov 12 01:10:44 2018 (441+20:55)
runlevel (to lvl 3) Mon Aug 14 00:14:01 2017 - Sun Aug 27 04:15:56 2017 (13+04:01)
reboot system boot Mon Aug 14 00:13:46 2017 - Mon Nov 12 01:10:44 2018 (455+00:56)
Die 6 „Reboot“-Zeilen oben haben alle eine Abmeldezeit, die der aktuellen Zeit entspricht.
shutdown system down Fri Aug 11 08:05:29 2017 - Mon Aug 14 00:13:46 2017 (2+16:08)
root pts/0 Fri Aug 11 08:05:23 2017 - down (00:00)
runlevel (to lvl 3) Fri Jun 30 07:05:42 2017 - Fri Aug 11 08:05:29 2017 (42+00:59)
reboot system boot Fri Jun 30 07:05:27 2017 - Fri Aug 11 08:05:29 2017 (42+01:00)
[...]
root pts/0 Fri Jun 30 05:48:16 2017 - crash (01:17)
root pts/0 Tue Jun 27 04:59:56 2017 - Tue Jun 27 05:00:30 2017 (00:00)
root pts/0 Mon Jun 26 11:20:57 2017 - Mon Jun 26 04:24:39 2017 (-6:-56)
runlevel (to lvl 3) Mon Jun 26 11:15:13 2017 - Fri Jun 30 07:05:42 2017 (3+19:50)
reboot system boot Mon Jun 26 11:14:57 2017 - Fri Aug 11 08:05:29 2017 (45+20:50)
root pts/0 Sun Jun 25 14:07:51 2017 - crash (21:07)
[...]
root tty1 Thu Jun 22 13:07:42 2017 - crash (3+22:07)
runlevel (to lvl 3) Thu Jun 22 13:07:07 2017 - Mon Jun 26 11:15:13 2017 (3+22:08)
reboot system boot Thu Jun 22 13:06:51 2017 - Fri Aug 11 08:05:29 2017 (49+18:58)
root pts/0 Thu Jun 22 12:43:56 2017 - crash (00:22)
runlevel (to lvl 3) Thu Jun 22 12:30:53 2017 - Thu Jun 22 13:07:07 2017 (00:36)
reboot system boot Thu Jun 22 12:30:38 2017 - Fri Aug 11 08:05:29 2017 (49+19:34)
root pts/1 Thu Jun 22 12:26:49 2017 - crash (00:03)
root pts/0 Thu Jun 22 11:55:28 2017 - crash (00:35)
runlevel (to lvl 3) Thu Jun 22 11:49:53 2017 - Thu Jun 22 12:30:53 2017 (00:41)
reboot system boot Thu Jun 22 11:49:14 2017 - Fri Aug 11 08:05:29 2017 (49+20:16)
Die 5 „Reboot“-Zeilen oben haben alle eine Abmeldezeit, die der Zeit des darauf folgenden „Shutdown-Systems“ entspricht.
shutdown system down Thu Jun 22 11:47:45 2017 - Thu Jun 22 11:49:14 2017 (00:01)
[...]
runlevel (to lvl 3) Wed Jun 21 15:59:42 2017 - Thu Jun 22 11:47:45 2017 (19:48)
reboot system boot Wed Jun 21 15:59:27 2017 - Thu Jun 22 11:47:45 2017 (19:48)
Die Abmeldezeit für „Neustart“ entspricht wieder der Zeit für „System herunterfahren“.
shutdown system down Wed Jun 21 15:57:58 2017 - Wed Jun 21 15:59:27 2017 (00:01)
root pts/0 Wed Jun 21 14:27:43 2017 - down (01:30)
[...]
runlevel (to lvl 3) Tue Jun 20 17:14:15 2017 - Wed Jun 21 15:57:58 2017 (22:43)
reboot system boot Tue Jun 20 17:14:00 2017 - Wed Jun 21 15:57:58 2017 (22:43)
Wie oben.
Aufgrund der obigen Ergebnisse gehe ich davon aus, dass für den Pseudobenutzer „reboot“ keine explizite Abmeldezeit aufgezeichnet wird, und weise lastihm daher eine Abmeldezeit des nächsten „Shutdown-Systemstarts“ zu, oder die aktuelle Zeit, wenn darauf kein „Shutdown-Systemstart“ folgt.
Für die Einträge „Runlevel (bis Stufe 3)“ scheint eine sinnvollere Abmeldezeit geschätzt zu sein, die Abstürze scheinen dabei jedoch nicht berücksichtigt zu sein.
Antwort3
Laut der Manpage scheinen die letzten Spalten die Start- und Stoppzeiten sowie die Dauer der Sitzung zu sein.
Antwort4
Die letzte Zeile ist wie gesagt betriebsbereit. Die letzten beiden Spalten sind Neustartzeit und aktuelle Zeit, glaube ich. Denn wenn ich den letzten Befehl ausführe, zeigt die zweite Spalte von hinten die aktuelle Zeit an und ändert sich ständig.