Logs de démarrage de votre serveur Linux
25 janvier 2014
A l’occasion d’un incident sur une de mes Dedibox, je me suis aperçu que le technicien du support Online avait, de sa propre initiative, rebooté la machine en mode secours et accédé à son contenu, sans que je lui en donne l’autorisation. La confiance n’exclut pas le contrôle, n’est-ce pas ? ;+)
Dates et heures des boot, des reboot ou des shutdown de votre serveur Linux
Sous Linux, à l’aide de la commande last, vous pourrez accéder au contenu du fichier /var/log/wtmp. Pour connaître les dates et heures où la machine s’est arrêtée, tapez last -x shutdown. Pour visualiser les événements de redémarrages, il faut saisir last -x reboot|sort -u. Pour connaître les démarrages de votre serveur Linux vous disposez de la commande last -x runlevel.
Conservation des logs
Le fichier /var/log/wtmp contient tous les événements liés aux connexions et déconnexions, là où le fichier /var/log/btmp conserve les échecs de connexion consultables à l’aide de la commande lastb.
Pour définir la durée de conservation de ces logs, vous devez éditer le fichier /etc/logrotate.conf. Dans l’exemple ci-dessous, la rotation s’effectue au bout d’un an à moins que la taille du fichier atteigne les 16 Mo. Par défaut, la durée de rotation est d’une semaine et la conservation sur 1 an (rotate 52).
/var/log/wtmp {
# monthly
yearly
create 0664 root utmp
#minsize 1M
size 16M
rotate 1
}
/var/log/btmp {
missingok
# monthly
yearly
create 0600 root utmp
rotate 1
size 16M
}
Pour une explication complète sur les différents paramètres utilisables dans le fichier /etc/logrotate.conf, vous pouvez consulter le manuel de la commande logrotate.