садкработает на производственном сервере.
Когда происходит инцидент, я хочу, чтобы администратордайте мне все данные(возвращаясь в прошлое как можно дальше), чтобы я мог проанализировать инцидент, а также то, что могло привести к нему на предыдущей неделе.
Мне кажется, что проводить анализ непосредственно на рабочем сервере — плохая идея, потому что:
- С каждым часом прошлые данные теряются из-за ротации файлов.
- Как консультант, я не имею доступа к серверу, поэтому мне придется 1. Спросить администратора "Пожалуйста, дайте мне вывод этой команды sar" 2. Анализировать 3. Спрашивать "Понятно, теперь дайте мне вывод той другой команды sar" и т. д. Как раз в то время, когда администратор очень занят.
- Выполнение задач на производственном сервере всегда сопряжено с риском совершения ошибки, поэтому лучше как можно больше делать за его пределами.
Так:
- Могу ли я попросить администратора просто отправить мне все данные, чтобы я мог проанализировать их в своей системе?
- Это так же просто, как отправить мне весь
/var/log/sa/
каталог? Или мне нужно, чтобы администратор отправил мне и другие вещи? - Для анализа данных мне нужна точно такая же ОС (Red Hat Enterprise Linux Server 6.3)? Или я могу сделать то же самое на моем Debian? Я могу установить CentOS, если это необходимо. Мне нужна точно такая же версия sysstat, или она должна работать, если обе последние (>9.0.4)?
решение1
Просто попросите:
- Название и версия операционной системы,
- Все содержимое каталога
/var/log/sa/
.
Это все, что вам нужно, чтобы начать анализировать данные sar на собственном оборудовании, не снижая производительность производства и не подвергаясь воздействию скользящих журналов.
По моему опыту, наличие точно такой же версии ОС не является строгим требованием, например, я успешно проанализировал данные CentOS sar на Ubuntu. Так что просто попробуйте на своей любимой системе и устанавливайте новую ОС только если это не сработало.