Visiter le répertoire /var/log.
Le fichier auth.log trace toutes les connections ssh, les actions CRON et les appels SU (ou SUDO). Ce fichier n'est consultable que par l'utilisateur root ou membre du groupe adm.
Jan 22 10:24:01 CP2L CRON[11307]: pam_unix(cron:session): session closed for user vanvincq Jan 22 10:24:02 CP2L sudo: vanvincq : TTY=pts/0 ; PWD=/home/vanvincq/Documents/tmp/log ; USER=root ; COMMAND=/etc/init.d/cron restart Jan 22 10:32:41 CP2L sudo: vanvincq : TTY=pts/0 ; PWD=/home/vanvincq/Documents ; USER=root ; COMMAND=/etc/init.d/cron restart Jan 22 10:35:01 CP2L CRON[15898]: pam_unix(cron:session): session opened for user vanvincq by (uid=0) Jan 22 10:35:01 CP2L CRON[15898]: pam_unix(cron:session): session closed for user vanvincq Jan 22 10:40:01 CP2L CRON[14031]: pam_unix(cron:session): session opened for user vanvincq by (uid=0) Jan 22 10:40:01 CP2L CRON[14031]: pam_unix(cron:session): session closed for user vanvincq Jan 22 10:45:01 CP2L CRON[7702]: pam_unix(cron:session): session opened for user vanvincq by (uid=0) Jan 22 10:45:01 CP2L CRON[7702]: pam_unix(cron:session): session closed for user vanvincq Jan 22 10:46:34 CP2L sudo: vanvincq : TTY=pts/0 ; PWD=/home/vanvincq/Documents ; USER=root ; COMMAND=/etc/init.d/cron restart Jan 22 11:17:01 CP2L CRON[25364]: pam_unix(cron:session): session opened for user root by (uid=0) Jan 22 11:17:01 CP2L CRON[25364]: pam_unix(cron:session): session closed for user root Jan 22 11:40:01 CP2L su[25886]: Successful su for root by vanvincq Jan 22 11:40:01 CP2L su[25886]: + /dev/pts/0 vanvincq:root Jan 22 11:40:01 CP2L su[25886]: pam_unix(su:session): session opened for user root by vanvincq(uid=1000) Jan 22 11:43:47 CP2L su[25886]: pam_unix(su:session): session closed for user root Jan 22 11:48:21 CP2L gdm-session-worker[2019]: pam_unix(gdm3:session): session closed for user vanvincq
Consulter le fichier de configuration /etc/rsyslog.conf.
Ce fichier est le fichier de configuration de rsyslog. Il indique notamment le service, le niveau de gravité et où rediriger les logs.
############### #### RULES #### ############### # # First some standard log files. Log by facility. # auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog #cron.* /var/log/cron.log daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log # # Logging for the mail system. Split it up so that # it is easy to write scripts to parse these files. # mail.info -/var/log/mail.info mail.warn -/var/log/mail.warn mail.err /var/log/mail.err
Rediriger les messages sur la console F12.
# Redirection de tous les messages sur la console tty12 *.* /dev/tty12
Décrire la commande dmesg.
Cette commande permet d'afficher la mémoire tampon des messages du noyau. Elle permet à l'administrateur de recourir à un moyen fiable pour diagnostiquer un problème du système.
vanvincq@Debian-Laptop ~ $ dmesg -r | head
<6>[ 0.000000] Initializing cgroup subsys cpuset <6>[ 0.000000] Initializing cgroup subsys cpu <5>[ 0.000000] Linux version 2.6.32-5-amd64 (Debian 2.6.32-39squeeze1) (dannf@debian.org) (gcc version 4.3.5 (Debian 4.3.5-4) ) #1 SMP Mon Jan 9 20:49:59 UTC 2012 <6>[ 0.000000] Command line: BOOT_IMAGE=/boot/vmlinuz-2.6.32-5-amd64 root=UUID=8726a7d6-7e0e-468f-99b6-d8255038b3c4 ro quiet <6>[ 0.000000] KERNEL supported cpus: <6>[ 0.000000] Intel GenuineIntel <6>[ 0.000000] AMD AuthenticAMD <6>[ 0.000000] Centaur CentaurHauls <6>[ 0.000000] BIOS-provided physical RAM map: <6>[ 0.000000] BIOS-e820: 0000000000000000 - 000000000009f800 (usable)