내 직장에는 Ubuntu 20.04를 실행하는 소형 서버 PC가 있습니다. 일주일 전, 누군가가 CPU를 훔쳤고(예, 케이스를 분해하고, 팬을 제거하고, CPU를 제거하고, 팬과 모든 것을 다시 조립했습니다), 다른 모든 것은 그대로 두었습니다.
원시 하드 드라이브가 있는데 이를 다른 컴퓨터에 외장 드라이브로 연결하고 서버가 다운되었을 때 알려주는 로그 파일을 찾을 수 있는 방법이 있습니까?
소켓에 맞는 교체품을 찾을 수 없어서 CPU를 교체할 수 없습니다.
아니면 드라이브를 다른 컴퓨터에 연결하면 내 OS가 부팅됩니까?
답변1
Nasir Riley가 의견에서 말했듯이 서버 디스크에서 부팅할 필요가 없습니다. 실제로 증거를 보호하기 위해시작하면 안 돼.
이 정보를 법정 증거로 사용할 계획이라면 자격을 갖춘 증인(= 귀하가 계획한 작업과 수행 방법을 이해하는 사람)이 있는 경우에만 시스템 디스크에 대한 읽기 전용 액세스 권한만 가져야 합니다. ). 그러한 증거를 수집하는 방법에 대한 보다 구체적인 조언을 얻으려면 현지 법 집행 기관에 문의할 수 있습니다.
가능하다면 다른 작업을 수행하기 전에 디스크의 정확한 이미지 복사본을 만들고 원본을 안전하게 유지하면서 복사본을 검사하십시오.
다음을 살펴보세요 /var/log. 기본적으로 모든 시스템 로그가 있는 곳입니다. 도둑이 시스템의 제어된 종료를 허용한 경우 종료에 대한 로그 기록을 찾을 수 있습니다.
하지만 도둑이 방금 전원 코드를 뽑았을 가능성이 높으므로 최신 로그 항목을 찾기 위해 로그를 살펴본 다음 로그 항목을 생성한 다음 이벤트가 무엇인지 알아내려고 노력해야 합니다. t, 시스템에 더 이상 전원이 공급되지 않기 때문입니다) . 그러면 서버가 다운될 시간이 주어집니다.
로그 이벤트의 빈도는 시스템 구성에 따라 다릅니다. 서버가 실행 중인 애플리케이션과 일반적인 사용 패턴을 알지 못하면 더 구체적으로 말하기가 어렵습니다. 매우 상세한 애플리케이션 로그가 아마도 최상의 추정치를 제공할 것입니다.
시스템이 실제 서버 하드웨어(예: 여러 개의 핫 스왑 가능한 전원 공급 장치, 전용 원격 관리 네트워크 포트)를 사용하는 경우 서버의 비휘발성 메모리에 저장된 내부 하드웨어 오류 로그에 중단을 기록했을 수 있습니다. . 서버의 관리 프로세서입니다. 원격 관리 도구(예: Dell iDRAC, Fujitsu RILOE, HP(E) iLO, Oracle ILOM 등)를 통해 마더보드에 전원이 공급되는 한 메인 프로세서가 없어도 하드웨어 오류 로그에 액세스할 수 있습니다.
그러나 이러한 원격 관리 기능이 구성되어 있지 않은 경우 메인 프로세서를 분실하면 구성이 불가능할 수 있습니다. 이 경우 로그에서 가능한 많은 정보를 얻은 다음 교체 CPU가 성공적으로 설치된 후 더 자세한 정보를 얻어야 합니다. sudo ipmitool sel elist하드웨어 오류 로그(존재하는 경우)를 나열하는 명령이어야 합니다. 물론 공급업체별 도구를 사용하면 더 자세한 정보를 얻을 수 있습니다.