Сегодня утром у нас была отключена система. Единственное, что есть в системном журнале:
Mar 20 15:27:15 fooserver systemd[1]: Received SIGINT.
Mar 20 15:27:15 fooserver systemd[1]: Starting Synchronise Hardware Clock to System Clock...
Mar 20 15:27:15 fooserver systemd[1]: Stopping system-ifup.slice.
Mar 20 15:27:15 fooserver systemd[1]: Removed slice system-ifup.slice.
Mar 20 15:27:15 fooserver rsyslogd: [origin software="rsyslogd" swVersion="8.4.2" x-pid="579" x-info="http://www.rsyslog.com"] exiting on signal 15.
Затем пятичасовой перерыв до перезапуска вручную.
Когда он вернулся, все работало как надо.
Никакие другие файлы журналов (я нашел этот период времени во всем, что было в / var / log) не показывают ничего необычного.
Лучшее, что у меня есть, это то, что кто-то был в аппаратной и нажал кнопку (случайно). Но это тонко. Только несколько человек имеют доступ, и я не думаю, что в то время кто-то был на сайте.
Где еще это искать? Или, возможно, что-нибудь еще, что я мог бы установить для отслеживания этого в следующий раз?
У меня сейчас эта команда работает на экране, пытаясь поймать ее в следующий раз: sysdig -p '%proc.pname[%proc.ppid]: %proc.name -> %evt.type(%evt.args)' evt.type=kill