Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub

Analyse avancée des journaux pour le dépannage des systèmes Linux

Utilisez journalctl, dmesg, les journaux d'authentification et les outils d'audit pour tracer les défaillances Linux à travers les services, les démarrages et les événements de sécurité.

Analyse avancée des journaux pour le dépannage des systèmes Linux

Les journaux système vous indiquent ce qui s'est passé avant qu'un service Linux ne tombe en panne, qu'un démarrage ne bloque ou qu'un serveur ne manque de mémoire. La difficulté consiste à traverser le bruit suffisamment rapidement pour trouver la ligne utile.

Ce guide va au-delà de l'inspection de base des fichiers (cat /var/log/messages) et montre comment utiliser journalctl, dmesg et les journaux d'audit de sécurité ensemble.

1. Maîtrise du journal unifié (systemd-journald)

Les distributions Linux modernes utilisant systemd centralisent la journalisation via systemd-journald, stockant les journaux dans un format binaire structuré et indexé. L'outil principal pour accéder à ces données est journalctl.

1.1 Filtrage par heure et par démarrage

Le dépannage avancé nécessite souvent d'isoler les événements dans des plages horaires ou des cycles de démarrage spécifiques. Les options -b (boot) et -S/-U (since/until) sont essentielles.

Commande Objectif Cas d'utilisation exemple
journalctl -b Afficher les journaux du démarrage en cours uniquement. Analyser un problème survenu depuis le dernier redémarrage.
journalctl -b -1 Afficher les journaux du démarrage précédent. Diagnostiquer un échec de démarrage sporadique.
journalctl -S "il y a 2 heures" Afficher les journaux à partir d'une heure ou d'une durée spécifique. Vérifier l'activité juste avant un crash de service.
journalctl --since "AAAA-MM-JJ HH:MM:SS" Afficher les journaux à partir d'un horodatage exact. Corréler les journaux système avec les données de surveillance externes.

1.2 Filtrage par métadonnées

La nature structurée du journal permet un filtrage basé sur des champs de métadonnées précis, ce qui élimine rapidement les données non pertinentes.

# Filtrer les journaux spécifiquement pour le service SSH
journalctl -u sshd.service

# Filtrer les journaux du noyau (priorité 0-7)
journalctl -k

# Filtrer les journaux par priorité (par exemple, erreurs critiques et supérieures)
# 0=emerg, 1=alert, 2=crit, 3=err
journalctl -p 0..3 -S hier

# Filtrer les journaux par ID de processus spécifique (PID)
journalctl _PID=1234

Astuce : Journal persistant : Si votre système ne conserve pas les journaux entre les redémarrages, activez la journalisation persistante en créant le répertoire du journal : sudo mkdir -p /var/log/journal et en vous assurant des autorisations correctes. Ceci est crucial pour diagnostiquer les problèmes liés au démarrage.

2. Analyse des messages du noyau avec dmesg et journalctl

Les messages du noyau sont essentiels pour diagnostiquer les problèmes matériels de bas niveau, les défaillances de pilotes et les paniques du système d'exploitation. Alors que dmesg fournit un instantané brut du tampon circulaire du noyau, journalctl intègre ces messages avec des horodatages et un contexte complet.

2.1 Utilisation de dmesg pour l'inspection matérielle immédiate

dmesg est rapide et reflète les messages d'initialisation souvent manqués si le journal ne démarre pas assez tôt. Il est principalement utile pour trouver les erreurs d'initialisation matérielle.

# Filtrer la sortie de dmesg pour les mots-clés de défaillance courants (insensible à la casse)
dmesg | grep -i 'fail\|error\|oops'

# Examiner les messages liés à un matériel spécifique (par exemple, les disques)
dmesg | grep sd

2.2 Identification du tueur OOM

L'épuisement des ressources, en particulier la déplétion de la mémoire, conduit le noyau à invoquer le tueur Out-Of-Memory (OOM). Ce processus met fin sélectivement aux applications pour libérer de la mémoire. L'identification de cet événement est vitale pour le dépannage de la mémoire.

Recherchez les messages contenant oom-killer ou killed process dans les journaux du noyau :

# Rechercher les événements OOM dans le journal du démarrage en cours
journalctl -b -k | grep -i 'oom-killer\|killed process'

Les entrées de journal associées détailleront quel processus a été tué, son empreinte mémoire et l'utilisation totale de la mémoire du système à ce moment-là.

3. Plongée en profondeur dans les journaux d'application et de service

Lorsqu'un service spécifique tombe en panne, l'analyse des journaux doit se déplacer vers le traçage des dépendances et des erreurs d'application connexes.

3.1 Corrélation de l'état du service et des journaux

Commencez toujours le dépannage d'une panne de service en vérifiant son état, ce qui fournit souvent le code de sortie et un indice sur l'erreur.

# Vérifier l'état du service du serveur web
systemctl status apache2.service

# Enchaîner immédiatement en affichant les journaux du service
journalctl -u apache2.service --no-pager

Recherchez les codes de sortie non nuls, les erreurs de segmentation ou les messages indiquant une violation de limite de ressources (par exemple, les limites de descripteurs de fichiers).

3.2 Examen des fichiers journaux traditionnels

Bien que systemd gère la plupart des journaux, certaines applications ou services hérités (en particulier les bases de données comme PostgreSQL ou MySQL) écrivent encore des journaux volumineux directement dans /var/log.

Emplacements courants et leurs objectifs :

  • /var/log/messages ou /var/log/syslog : Activité générale du système, selon la distribution.
  • /var/log/dmesg : Copie statique du tampon circulaire du noyau (si sauvegardée).
  • /var/log/httpd/error_log : Erreurs d'application spécifiques à Apache/Nginx.
  • /var/log/faillog : Enregistre les tentatives de connexion échouées.

Utilisez des outils puissants de manipulation de texte comme grep, awk et tail pour la surveillance en temps réel et le filtrage de ces fichiers :

# Surveiller un fichier journal en temps réel tout en reproduisant une erreur
tail -f /var/log/application/database.log | grep -i 'fatal\|timeout'

4. Analyse des journaux de sécurité et d'audit

Les journaux de sécurité offrent une visibilité sur les tentatives d'authentification, les échecs d'autorisation et les modifications de configuration—essentiels pour diagnostiquer les problèmes de contrôle d'accès ou les tentatives d'intrusion.

4.1 Journaux d'authentification (auth.log/secure)

Sur Debian/Ubuntu, ces journaux se trouvent dans /var/log/auth.log ; sur RHEL/CentOS, ils se trouvent généralement dans /var/log/secure (ou interrogeables via le journal).

Recherchez les échecs de connexion répétés ou les tentatives non autorisées, souvent signalés par :

# Afficher les tentatives de connexion SSH échouées
grep 'Failed password' /var/log/secure

# Analyser l'utilisation de sudo pour une escalade de privilèges non autorisée
grep 'COMMAND=' /var/log/auth.log

4.2 Système d'audit Linux (Auditd)

Pour les environnements nécessitant un suivi complet de l'accès aux fichiers, des appels système et des modifications de configuration, le système d'audit Linux (auditd) est essentiel. L'analyse est généralement effectuée à l'aide de l'outil ausearch.

# Rechercher les événements liés aux refus d'accès aux fichiers
ausearch -m AVC,USER_AVC,DENIED -ts hier

# Rechercher tous les appels système exécutés par un utilisateur spécifique (UID 1000)
ausearch -ua 1000

5. Scénarios pratiques de dépannage

Une analyse efficace des journaux implique de savoir chercher en fonction du symptôme observé.

Scénario 1 : Échec du montage du système de fichiers pendant le démarrage

Si le système démarre en mode d'urgence, le problème est presque toujours tracé dans les messages de démarrage précoces.

  1. Action : Redémarrez le système.
  2. Outil d'analyse : journalctl -b -k (concentrez-vous sur les journaux du noyau pour le démarrage ayant échoué).
  3. Mots-clés : ext4 error, superblock, mount error, dependency failed.
  4. Indice de cause racine : Une ligne mentionnant un code d'erreur explicite sur /dev/sdb1 ou un UUID manquant dans /etc/fstab.

Scénario 2 : Charge élevée sporadique et ralentissement du service

Lorsque les performances se dégradent par intermittence, la cause peut être une contention de ressources ou une fuite de mémoire.

  1. Action : Déterminez l'heure à laquelle le ralentissement s'est produit.
  2. Outil d'analyse : journalctl --since "10 minutes avant l'événement" -p warning..crit.
  3. Mots-clés : oom-killer, cgroup limit, CPU limit reached, deadlock.
  4. Indice de cause racine : Si aucun tueur OOM n'est trouvé, filtrez les journaux par services individuels à forte consommation de ressources pour vérifier les erreurs internes répétitives (par exemple, les délais d'attente de connexion à la base de données ou la journalisation excessive).

À retenir : Construire un flux de travail de journalisation reproductible

L'analyse avancée des journaux fonctionne mieux lorsque vous suivez le même chemin à chaque fois :

  1. Standardiser le filtrage : Apprenez et standardisez vos commandes journalctl pour isoler rapidement les démarrages, les services et les plages horaires.
  2. Centraliser la journalisation : Mettez en œuvre une solution de journalisation centralisée (par exemple, ELK Stack, Splunk, Graylog) pour les environnements complexes. Cela permet la corrélation des journaux sur plusieurs serveurs, essentielle pour le dépannage des applications distribuées.
  3. Comprendre les priorités : Connaissez les niveaux de gravité (emerg, alert, crit, err, warning, notice, info, debug) et utilisez l'option -p pour ignorer les messages info de routine pendant les urgences.
  4. Maintenir la synchronisation : Assurez-vous que toutes les horloges système sont synchronisées via NTP ; des horloges non synchronisées rendent la corrélation des journaux entre les systèmes presque impossible.