Hallo,

ich hatte heute Nacht wohl einen Serverausfall.

Auch nett, ich hatte Freitagabend eine Plattenausfall zu Hause. I.A. läuft eine uralte SuSE Live-CD und der Mozilla von einem ZIP-Drive ;-\ Warum passiert das immer am Wochenende oder, alternativ, wenn im Geldbeutel mal wieder Ebbe ist? ;-)

Jedenfall hatte ich heute Morgen mehrere eMails von Internet Seer im Eingang. Was haltet Ihr von diesem Service? Ich bin da mal bei der automatischen Eintragung von Sites in Suchmaschinen reingeraten. Bisher kostenlos.

Da er funktioniert und (immer noch)nichts kostet: ist doch nicht schlecht.

Dann was merkwürdiges: Apache meldete auf Statusabfrage "running". Der Bursche ließ dann aber weder stoppen noch starten.

Was sagte denn 'ps' oder hast Du nur Apache gefragt?

Ulkigerweise wurde PHP immer erfolgreich gestartet.

Habe dann den gesamten Linux-Rechner rebootet.

Das ist aber eine sehr brutale Methode und wenig hilfreich.
Störungen kommen nicht einfach so, das ist kein Windows!

Jetzt läufts wieder.
Kurz darauf kam auch eine eMail von Internet Seer, dass die betroffenen Seiten wieder aktive sind.

Scheinen doch sehr prompt zu sein, nciht schlecht.

Allerdings hätte ich gerne den Grund für den Ausfall herausbekommen. Wie würdet Ihr da vorgehen.

Punkt 1: nie rebooten, nur wenn es wirklich nicht anders geht, man keinen Zugriff auf überhaupt nichts mehr hat, oder das Threading versaut ist (uninteruptable sleep, da wäre der Aufwand einfach zu riesig).
Das Problem ist: bei einem Reboot werden einige Logfiles überschrieben. Es kann durchaus sein, das beim letztem Booten schon Probleme auftraten, die sich erst jetzt manifestiert haben. Z.B. Plattenprobleme (Wie ich darauf jetzt nur komme? ;-)
Gut, nun ist zu spät, also egal.
Ich nehme an, Du hast schon kontrolliert, ob alle Deine Services up-to-date sind, bzw ob alle Security-Fixes eingespielt wurden. (HTTP, FTP, SSL, MTA usw)?
Du hast die Antwortzeiten Deiner Seite auch noch persönlich kontrolliert? (/. Effekt?)
In /var/log liegen einige Logfiles:
(Pfade müssen nicht unbedingt übereinstimmen)
/var/log/warn sind alle Warnungen geloggt, da steht dann z:B. so etwas wie:

Sep 28 01:39:37 yals kernel: end_request: I/O error, dev 03:45 (hdb), sector 345
Sep 28 01:39:37 yals kernel: hdb: drive not ready for command
Sep 28 01:39:37 yals kernel: hdb: status timeout: status=0x80 { Busy }
Sep 28 01:39:37 yals kernel: hdb: drive not ready for command
Sep 28 01:40:07 yals kernel: ide0: reset timed-out, status=0x80
Sep 28 01:40:07 yals kernel: hdb: status timeout: status=0x80 { Busy }
Sep 28 01:40:07 yals kernel: hdb: drive not ready for command

(Ja, genau, so sieht eine Platte mit kaputtem Sektor aus. Den Rest des Trauerspiels erspare ich Dir lieber, denn _der_ Sektor war nur der Erste von ganz vielen ;-)

In /var/log/messages steht meist auch noch recht viel.

In /var/log/boot.msg steht der Bootlog, aber immer nur der aktuelle.

Wenn Du SuSE hast und deren Config benutzt hast gibt es auch noch /var/log/Config.bootup

Ja, und natürlich die Apachelogs, aber die bist ja wohl als erstes durchgegangen, oder?

Ich mache ein IP-Traffic-Logging. Da steht aber nichts ungewöhnliches drin. Viele ICMP-Packete wären z.B auffällig. Sind aber nur ganz wenige (so 0,2% Anteil).

Angeblich ist IP-Logging problematisch wg Datenschutz. Ich finde das zwar hirnrissig, aber ... ;-}

Aber schalte doch ICMP ganz aus, wenn Du ihn nicht brauchst.Ganz brutal ist z.B.:
'echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all'
(Bei 2.2, bei 2.4 ist's aber IMHO die gleiche Stelle.)

so short

Christoph Zurnieden