Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Logs de démarrage et idées fausses

moko138

Il a été demandé comment récupérer les logs d'un précédent démarrage.
Je saute sur l'occasion pour dissiper quelques idées fausses.

Dans /var/log/,
on trouve dmesg.0. C'est l'ancien dmesg qui a subi la rotation au démarrage.

On y trouve aussi syslog.1 et kern.log.1 : les anciens syslog et kern.log ayant subi la rotation. Mais...
Attention :
1) La rotation de syslog et de kernlog, contrairement à celle de dmesg, ne coïncide pas avec le démarrage ! Du moins, pas nécessairement.
Elle est réglée par logrotate, dans /etc/logrotate.d/rsyslog.

Qu'il soit clair que la rotation de syslog et de kernlog peut se produire en cours de session !

Autre fait méconnu,
2) L'heure et la date connues au démarrage sont celles indiquées par le bios !
C'est donc l'heure du bios qui est alors écrite dans les logs.
Ce n'est qu'après connexion à des serveurs (paquets tzdata et ntpdate) que le système se met à la date et à l'heure du fuseau horaire que vous avez choisi.

Conséquence 1
Les activités de votre session précédente et des jours précédents peuvent être dans kern.log et syslog, pas nécessairement dans kern.log.1 et syslog.1, syslog.2.gz (1) etc.
Regardez d'abord la date et l'heure dans les premières lignes :

sudo cat /var/log/kern.log | head -3

sudo cat /var/log/syslog | head -3

Et c'est seulement si ça ne convient pas que vous remonterez aux fichiers précédents :

sudo cat /var/log/kern.log.1 | head -3

sudo cat /var/log/syslog.1 | head -3

Conséquence 2
Ne soyez pas étonné dans les circonstances suivantes :
votre pc a gelé et vous avez redémarré quelques instants plus tard, à, disons, 07h43.
La transition au sein d'un log doit ressembler à

[   86412.******]  bla-bla - dernière indication, peut-être pertinente quant au gel.
[   00000.000000] bla-bla

où le premier nombre est le temps en secondes, écoulé depuis le chargement du noyau.

Et quand l'heure est indiquée, vous vous attendez donc à

<date> 07:40:22 votre-pc kernel [   86412.******]  bla-bla
<date> 07:43:19 votre-pc kernel [   00000.000000]  bla-bla

Eh bien non, à la place de "07:43", c'est bien l'heure du bios qui sera affichée. Et la chronologie affichée dans les logs comportera un apparent voyage dans le passé :

<date> 07:40:22 votre-pc kernel [ 86412.******] bla-bla # dernière ligne de session
<date> 05:43:19 votre-pc kernel [ 00000.000000] bla-bla # redémarrage
### 15 (disons 15) minutes plus tard :
<date> 05:58:19 votre-pc kernel [ 00900.******] ntpd (...) # connexion à un serveur horaire
<date> 07:58:20 votre-pc kernel [ 00900.******] # l'heure est à jour.

sudo cat /var/log/kern.log | grep -C 3 "000000\]" | tail -7

(Ne sortir que les lignes contenant "000000]", +3 lignes avant +3 lignes après ; et s'en tenir aux 7 dernières lignes de la sortie.)
FIN d'edit
vous donnera peut-être l'info voulue.
Sinon, comme le fichier peut faire des dizaines de milliers de lignes, on va procéder...

par sondages :

sudo cat /var/log/syslog | head -900 | tail -2

(on prend les 900 premières lignes head -900 ; et on n'en garde que les 2 dernières tail -2.)
Si le temps écoulé depuis le chargement du noyau est trop élevé, ou l'heure trop récente, on remonte plus haut dans le fichier :

sudo cat /var/log/syslog | head -400 | tail -2

Mais si, au contraire, le temps écoulé depuis le chargement du noyau est trop court, ou l'heure trop ancienne, on descend :

sudo cat /var/log/syslog | head -1900 | tail -2

sudo cat /var/log/syslog | head -3500 | tail -2

etc.
Et quand on a trouvé le bon moment, on augmentera le nombre de lignes conservées, pour les partager sur le forum :

sudo cat /var/log/syslog | head -3722 | tail -25

🙂

- -

Cette méthode par sondage peut bien sûr servir pour chercher un autre processus que celui qui précède le démarrage. 🙂

___
(1) Plus rarement, on souhaite explorer les logs antérieurs, à extension .gz.
En ce cas adapter ceci :

zless /var/log/dpkg.log.2.gz | grep 4.4.0 | tail -2

(4.4.0 n'est qu'un exemple de chaîne à rechercher).

moko138

(précisions ultérieures)

emena

Merci pour ce post qui mériterait d'être dans la doc.
EM

Ayral

De rien moko138

emena

Hello,

J'ai eu beaucoup de lignes avec des zéros de toutes sortes, pour moi, c'est plus facile de faire la commande suivante

sudo cat /var/log/kern.log | grep -C 3 0.000000] | head -7

grandtoubab

salut
Avec

 grep "Linux version" /var/log/kern.log

ça doit orienter sur les moments des démarrages du noyau figurant dans le journal

Exemple

@debian:~$  grep "Linux version" /var/log/kern.log
May 28 09:42:41 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 28 12:02:04 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 28 15:08:19 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 28 18:14:35 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 28 18:15:49 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 28 19:38:55 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 29 09:08:02 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 29 14:06:28 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 30 09:29:01 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 30 11:28:04 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 30 17:44:06 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 30 19:19:45 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 31 11:40:55 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 31 13:09:50 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
May 31 16:13:03 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
Jun  1 09:18:04 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
Jun  1 15:59:14 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
Jun  2 09:18:04 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
Jun  2 11:09:30 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
Jun  2 13:19:04 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
Jun  2 14:52:23 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)
Jun  2 21:57:44 debian kernel: [    0.000000] Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.43-2 (2017-04-30)

moko138

Merci de vos retours ! 🙂
À te lire, grandtoubab, je me suis avisé qu'on pouvait avoir plusieurs démarrages dans kern.log. Donc en #1 j'ai remplacé "head -7" par "tail -7" dans cette ligne :

sudo cat /var/log/kern.log | grep -C 3 000000 | tail -7

de façon à atterrir au plus récent (re)démarrage.

grandtoubab

moko138 a écritMerci de vos retours ! 🙂
À te lire, grandtoubab, je me suis avisé qu'on pouvait avoir plusieurs démarrages dans kern.log. Donc en #1 j'ai remplacé "head -7" par "tail -7" dans cette ligne :
sudo cat /var/log/kern.log | grep -C 3 000000 | tail -7
de façon à atterrir au plus récent (re)démarrage.

quand on utilise Systemd pour le démarrage et ses commandes , le dernier boot est listé par la commande

journalctl -b

Pour info la configuration est dans /etc/systemd/journald.conf
La valeur par defaut Storage=auto permets de conserver l'historique à la condition d'avoir créé le dossier /var/log/journal sinon seul le dernier boot est geré
cf
https://www.freedesktop.org/software/systemd/man/journald.conf.html#
https://www.freedesktop.org/software/systemd/man/journalctl.html

root@debian:/var/log/journal# journalctl --list-boots
-3 163abbeffd8345d49d6ef6e63ba7411e Sat 2017-06-03 21:54:35 CEST—Sat 2017-06-03 22:10:58 CEST
-2 a6a527f4383748a0998b01ae34908b1c Sat 2017-06-03 22:11:32 CEST—Sat 2017-06-03 22:40:21 CEST
-1 cd2d8673641e408da3d5a2a801ae476a Sun 2017-06-04 08:31:01 CEST—Sun 2017-06-04 08:44:43 CEST
 0 79d36e452de540cabba20ddabf4ed844 Sun 2017-06-04 08:45:18 CEST—Sun 2017-06-04 08:49:16 CEST

journalctl est très puissant dans ses options de recherche, pour lister les erreurs ( les lignes rouges qui font peur mais ne sont pas toujours graves 😃 )

journalctl -p err

moko138

Merci de ces compléments !
En particulier :

grandtoubab a écritLa valeur par defaut Storage=auto permet de conserver l'historique à la condition d'avoir créé le dossier /var/log/journal sinon seul le dernier boot est géré

dont j'entends parler pour la première fois !

grandtoubab

moko138 a écritMerci de ces compléments !
En particulier :
grandtoubab a écritLa valeur par defaut Storage=auto permet de conserver l'historique à la condition d'avoir créé le dossier /var/log/journal sinon seul le dernier boot est géré
dont j'entends parler pour la première fois !

Exemple les erreurs de l'avant-dernier boot

journalctl -b -1 -p err
-- Logs begin at Sat 2017-06-03 21:54:35 CEST, end at Sun 2017-06-04 09:39:05 CEST. --
juin 04 08:31:05 debian kernel: kvm: disabled by bios
juin 04 08:31:07 debian kernel: Bluetooth: hci0 command 0x1009 tx timeout
juin 04 08:31:15 debian avahi-daemon[599]: chroot.c: open() failed: No such file or directory
juin 04 08:31:21 debian kernel: ERROR @wl_notify_scan_status : wlan0 Scan_results error (-22)
juin 04 08:31:51 debian pulseaudio[1377]: [pulseaudio] bluez5-util.c: GetManagedObjects() failed: org.freedesktop.systemd1.NoSuchUnit: Unit dbus-org.bluez.s
juin 04 08:44:38 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:38 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:38 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:38 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:38 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:38 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:41 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:41 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:41 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:41 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:41 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:41 debian gnome-session-binary[1248]: GLib-GObject-CRITICAL: g_object_unref: assertion 'G_IS_OBJECT (object)' failed
juin 04 08:44:42 debian kernel: snd_hda_intel 0000:02:00.1: CORB reset timeout#2, CORBRP = 65535
juin 04 08:44:42 debian kernel: snd_hda_intel 0000:02:00.1: no AFG or MFG node found
juin 04 08:44:42 debian kernel: snd_hda_intel 0000:02:00.1: no AFG or MFG node found
juin 04 08:44:42 debian kernel: snd_hda_intel 0000:02:00.1: no AFG or MFG node found
juin 04 08:44:42 debian kernel: snd_hda_intel 0000:02:00.1: no AFG or MFG node found

grandtoubab

Attention c'est très consommateur de place sur le disque et vaut mieux le réserver au périodes de test
Donc n'hésitez pas a supprimer

 df -h
Sys. de fichiers Taille Utilisé Dispo Uti% Monté sur
udev               1,8G       0  1,8G   0% /dev
tmpfs              370M    1,4M  369M   1% /run
/dev/sda1          9,1G    8,1G  490M  95% /
tmpfs              1,9G       0  1,9G   0% /dev/shm
tmpfs              5,0M    4,0K  5,0M   1% /run/lock
tmpfs              1,9G       0  1,9G   0% /sys/fs/cgroup
tmpfs              1,9G     40K  1,9G   1% /tmp
/dev/sda6          263G    181G   69G  73% /home
tmpfs              370M     24K  370M   1% /run/user/1001

root@debian: cd /var/log
root@debian:/var/log# rm -R journal
root@debian:/var/log# df -h
Sys. de fichiers Taille Utilisé Dispo Uti% Monté sur
udev               1,8G       0  1,8G   0% /dev
tmpfs              370M    6,1M  364M   2% /run
/dev/sda1          9,1G    7,4G  1,3G  86% /
tmpfs              1,9G     18M  1,8G   1% /dev/shm
tmpfs              5,0M    4,0K  5,0M   1% /run/lock
tmpfs              1,9G       0  1,9G   0% /sys/fs/cgroup
tmpfs              1,9G     40K  1,9G   1% /tmp
/dev/sda6          263G    181G   69G  73% /home
tmpfs              370M     28K  370M   1% /run/user/1001