盗難事件を調査するには、Ubuntu 20.04にログインしてください。

盗難事件を調査するには、Ubuntu 20.04にログインしてください。

私の仕事には、Ubuntu 20.04を実行している小型サーバーPCがあります。一週間前、誰かがCPUを盗み(例:ケースを分解し、ファンを取り外し、CPUを取り外し、ファンとすべてを再組み立て)、他のすべてはそのままにしました。

生のハードドライブがありますが、別のコンピュータに外付けドライブに接続し、サーバーがダウンしたときに通知するログファイルを見つける方法はありますか?

ソケットに合った交換品が見つからないため、CPUを交換できません。

または、ドライブを別のコンピュータに接続すると、私のOSが起動しますか?

答え1

Nasir Rileyがコメントしたように、サーバーディスクから起動する必要はありません。実際に証拠を守るために始めてはいけません。

この情報を法定証拠として使用する予定の場合は、資格のある証人(=あなたが計画した作業と実行方法を理解している人)がいる場合にのみ、システムディスクへの読み取り専用アクセス権のみを持っている必要があります。 )。そのような証拠を収集する方法についてより具体的なアドバイスを得るには、現地の法執行機関に連絡してください。

可能であれば、他の作業を実行する前にディスクの正確なイメージコピーを作成し、原稿を安全に保ちながらコピーを確認してください。

以下を見てください/var/log。デフォルトでは、すべてのシステムログがある場所です。泥棒がシステムの制御されたシャットダウンを許可した場合は、シャットダウンのログ履歴を見つけることができます。

ただし、泥棒がちょうど電源コードを抜いた可能性が高いので、最新のログエントリを見つけるためにログを見てからログエントリを生成し、イベントが何であるかを調べる必要があります。 t、システムに電力が供給されなくなったためです)。これにより、サーバーがダウンする時間が与えられます。

ログイベントの頻度は、システム構成によって異なります。サーバーが実行されているアプリケーションと一般的な使用パターンを知らないと、より具体的に言うのは難しいです。非常に詳細なアプリケーションログはおそらく最高の見積もりを提供します。

システムが物理サーバーハードウェア(たとえば、複数のホットスワップ可能な電源装置、専用のリモート管理ネットワークポート)を使用している場合は、サーバーの不揮発性メモリに格納されている内部ハードウェアエラーログに中断を記録した可能性があります。 。サーバーの管理プロセッサーです。リモート管理ツール(Dell iDRAC、富士通RILOE、HP(E)iLO、Oracle ILOMなど)を介してマザーボードに電力が供給されている限り、メインプロセッサがなくてもハードウェアエラーログにアクセスできます。

ただし、これらのリモート管理機能が構成されていない場合は、メインプロセッサーを紛失すると構成できません。この場合、ログからできるだけ多くの情報を取得し、交換用CPUが正常にインストールされたら、より詳細な情報を入手する必要があります。sudo ipmitool sel elistハードウェアエラーログ(存在する場合)を一覧表示するコマンドである必要があります。もちろん、ベンダー固有のツールを使用すると、より詳細な情報を得ることができます。

関連情報