Tivemos um sistema off-line esta manhã. A única coisa no syslog é:
Mar 20 15:27:15 fooserver systemd[1]: Received SIGINT.
Mar 20 15:27:15 fooserver systemd[1]: Starting Synchronise Hardware Clock to System Clock...
Mar 20 15:27:15 fooserver systemd[1]: Stopping system-ifup.slice.
Mar 20 15:27:15 fooserver systemd[1]: Removed slice system-ifup.slice.
Mar 20 15:27:15 fooserver rsyslogd: [origin software="rsyslogd" swVersion="8.4.2" x-pid="579" x-info="http://www.rsyslog.com"] exiting on signal 15.
Em seguida, um intervalo de cinco horas até ser reiniciado manualmente.
Quando ele voltou, tudo funcionou como deveria.
Nenhum outro arquivo de log (usado neste período em tudo que estava em / var / log) mostra algo incomum.
O melhor que eu tenho até agora é que alguém estava na sala de equipamentos e apertou o botão (acidentalmente). Mas isso é magro. Apenas algumas pessoas têm acesso, e eu não acho que nenhuma delas estivesse no site naquele momento.
Existe algum outro lugar para procurar isso? Ou, talvez, qualquer outra coisa que eu pudesse configurar para monitorar isso na próxima vez?
Atualmente, tenho este comando em execução na tela tentando capturá-lo da próxima vez:
sysdig -p '%proc.pname[%proc.ppid]: %proc.name -> %evt.type(%evt.args)' evt.type=kill
Tags linux server-crashes