• /var/log/以下のログ解析

• ログ解析の考え方
  • まずは messages で変なログが出ていないか？
  • 怪しい特に予備知識無くてもポツンと出てるログがあればそれをググる。
  • いつからいつまで起動してて、いつシャットダウンしたのか調べる。
  • 起動時のログの前にシャットダウンのログがなければ電源断などで落ちた可能性がある
  • ジャーナルファイルシステムなら電源断の影響でファイルシステム壊れが発生することがある。
  • カーネルダンプの存在をチェック。
  • カーネルダンプとはカーネルの何らかエラー、カーネルパニックによって死んだ時、メモリーの状態をファイルに書き出すシステム。
  • ある期間が怪しいならば、その期間のログを抽出する。前後数分程度。
  • messagesだけじゃない。syslogは？
  • faillogこけたときのログ
  • /var/log/secure,wtmp,lastlog ログインの形跡
  • cron 定期実行デーモンcrondのログ。いつ頃サーバーが死んだとかに。ただし書き込みが行われないまま落ちると書き込まれない点に注意。
  • dmesg 最期に起動したときのdmesg出力
  • /var/log/rpmpkgs rpmパッケージの一覧。/etc/cron.daily/rpmで毎日書き直される。バージョンが分かる。
  • boot.log起動時にloggerとかで一時的に記録しておいたものがファイルシステムマウント後に書き出されるはずだがCentOS5.X系ではバグってて空っぽ。

• コマンド、プログラムでのログ解析
  • grepで怪しいキーワードを引っ掛ける。SIGSEGV（セグメンテーションフォールト）とか*1

思い出したら続き書く。
10/07/07 適当に追加。ログファイルについてまとめたほうがいいかも。