在我的工作中,我有一台运行 Ubuntu 20.04 的小型服务器 PC。一周前,有人偷了CPU(是的,他们拆开机箱,拆下风扇,拆下CPU,然后将风扇和其他所有东西原样放回去),而其他所有东西都没有动过。
由于我有一个原始硬盘驱动器,有没有办法将其作为外部驱动器插入另一台电脑,并找到任何日志文件来告诉我服务器何时关闭?
我无法更换 CPU,因为我找不到适合该插槽的替代品。
或者,如果我将驱动器插入另一台电脑,它会启动我的操作系统吗?
tel*_*coM 29
正如 Nasir Riley 在评论中所说,您不需要从服务器磁盘启动。事实上,为了保护证据,你不应该启动它。
如果您打算在法庭上使用这些信息作为证据,您应该仅以只读方式访问系统磁盘,并且可能需要有合格证人(= 理解您计划做什么的人)在场以及应该如何完成)而已。您可能需要联系当地执法部门,获取有关如何收集此类证据的更具体建议。
如果可能,请在执行其他操作之前制作磁盘的精确映像副本,并在确保原始副本安全的同时检查副本。
您应该开始查看/var/log:这基本上是所有系统日志所在的位置。如果窃贼让系统运行受控关闭,您可能会找到关闭的日志记录。
但小偷更有可能只是拔掉了电源线,因此您必须查看日志以找到最新的日志条目,然后尝试找出下一个发生的事件是什么创建了一个日志条目(但没有,因为系统不再通电)。这将为您提供一个服务器关闭的时间窗口。
日志事件的频率取决于系统的配置:在不了解服务器正在运行的应用程序及其正常使用模式的情况下,很难说得更明确。非常详细的应用程序日志可能会给您最好的估计。
如果系统使用实际的服务器硬件(例如多个热插拔电源,也许是专用的远程管理网络端口),它可能已在存储在服务器非易失性存储器中的内部硬件错误日志中记录了断电的确切时间。服务器的管理处理器。通过远程管理工具(例如 Dell iDRAC、Fujitsu RILOE、HP(E) iLO、Oracle ILOM 等),只要主板正在通电,即使主处理器丢失,您也可以访问硬件错误日志。
但是,如果尚未配置此类远程管理设施,则在主处理器丢失时可能无法对其进行配置。在这种情况下,您必须从日志中获取尽可能多的信息,然后在成功安装替换 CPU 后才能获取更详细的信息。sudo ipmitool sel elist应该是列出硬件错误日志(如果存在)的命令。当然,特定于供应商的工具可能会提供更详细的信息。