Ubuntu服务器关机日志取证：四步定位谁在何时关机

1. 这不是玄学是系统留下的“行为指纹”你有没有遇到过这样的情况一台 Ubuntu 服务器明明配置了自动重启策略却在凌晨三点毫无征兆地宕机等你早上登录时它安静得像从未运行过或者运维同事坚称“没人动过物理电源”但监控显示系统在非维护窗口期突然断电日志里却只有一片空白我上个月就撞上这么一例——某台承载着定时数据清洗任务的 Ubuntu 22.04 服务器连续三天在凌晨 2:17 左右离线Zabbix 告警显示“ICMP unreachable”而last命令查到的最后登录记录却是前一天下午 5 点。直觉告诉我这不是硬件故障而是有人刻意关机且试图抹掉痕迹。但问题来了Ubuntu 默认不会把“关机”这件事单独记成一条醒目的日志。它不像 Windows 那样在事件查看器里弹出“事件 ID 1074用户 XXX 通过 shutdown 命令关闭系统”。Linux 的关机行为被拆解、分散、混杂在多个日志源中——systemd的启动/关闭序列、kernel的电源管理消息、auth.log的权限操作、甚至/var/log/journal的二进制流。它们不是“证据”而是“线索碎片”。真正能拼出“谁、何时、以何种方式关机”完整图谱的恰恰是/var/log/这个看似杂乱无章的目录。它不说话但它从不撒谎。只要你懂它的语言就能从syslog的一行时间戳、auth.log里一个被忽略的sudo记录、kern.log中一条关于ACPI的警告里还原出那个按下shutdown -h now的手指。这篇笔记就是我用三台不同负载、不同版本18.04/20.04/22.04的 Ubuntu 服务器反复验证后总结出的一套可复现、可审计、可写入 SOP 的日志取证路径。它不依赖任何第三方工具只用grep、journalctl、awk这些系统自带的“瑞士军刀”目标明确找到那个偷偷关机的人以及他关机的全部上下文。2. 关机行为的底层逻辑为什么日志会“分身”要读懂/var/log/必须先理解 Linux 关机过程本身。很多人以为shutdown是一个原子操作其实它是一场精密的“多线程交响乐”每个环节都在不同日志通道里留下自己的声部。我把这个过程拆解为四个不可跳过的阶段每个阶段对应一个核心日志源也决定了我们该去哪里挖证据。2.1 阶段一用户意图的“签名”——auth.log与sudo审计一切始于一个命令。无论是sudo shutdown -h now、sudo systemctl poweroff还是直接su -c shutdown -h now只要触发了需要 root 权限的关机动作sudo就会忠实地在/var/log/auth.log中记下一笔。这是整个链条里最“人”的部分也是最直接的“嫌疑人签名”。它记录的不只是命令还包括执行者USER、终端TTY、IP 地址如果通过 SSH、甚至命令的完整参数。例如May 12 02:17:03 webserver sudo: alice : TTYpts/1 ; PWD/home/alice ; USERroot ; COMMAND/sbin/shutdown -h now这条记录清晰地表明用户alice在pts/1终端通常是 SSH 会话于02:17:03执行了关机命令。注意PWD字段还能告诉你她当时在哪个目录下操作这有时能关联到特定的运维脚本。关键点在于auth.log是唯一能直接将关机行为与具体用户名绑定的日志。如果你发现服务器在凌晨关机但auth.log在对应时间点没有任何sudo或su记录那基本可以排除“人为命令关机”转向硬件或内核级故障排查。我曾在一个案例中发现auth.log里有root用户在02:17:01执行shutdown的记录但last显示root当天根本没登录过——这立刻指向了密码泄露或密钥被盗用而非内部人员操作。2.2 阶段二系统服务的“告别仪式”——syslog与systemd启动日志当shutdown命令被systemd接收后它会启动一套标准的“优雅关机”流程依次停止所有用户服务nginx,mysql、停止系统服务cron,rsyslog、卸载文件系统、最后调用内核的关机接口。这个过程的每一步都会由systemd发送日志到/var/log/syslog或/var/log/messages。这些日志不是“关机成功”而是“正在关机”的实时快照。例如May 12 02:17:04 webserver systemd[1]: Stopping nginx - high performance web server... May 12 02:17:04 webserver systemd[1]: Stopped nginx - high performance web server. May 12 02:17:04 webserver systemd[1]: Stopping MySQL Community Server... May 12 02:17:05 webserver systemd[1]: Stopped MySQL Community Server. May 12 02:17:05 webserver systemd[1]: Stopping System Logging Service... May 12 02:17:05 webserver systemd[1]: Stopped System Logging Service. May 12 02:17:05 webserver systemd[1]: Reached target Shutdown. May 12 02:17:05 webserver systemd[1]: Shutting down.这段日志的价值在于“时间锚点”和“流程完整性”。Reached target Shutdown和Shutting down是systemd关机流程的终点信号它的时间戳02:17:05比auth.log里的02:17:03晚两秒完美印证了命令执行到系统响应的延迟。更重要的是如果syslog里没有看到这一连串的Stopping...和Stopped...记录而是直接跳到了Shutting down那就说明关机是“硬中断”——比如echo 1 /proc/sys/kernel/sysrqo或者直接按了物理电源键。这种情况下auth.log里必然没有对应记录而kern.log里会出现异常。2.3 阶段三内核的“临终遗言”——kern.log与 ACPI 电源事件当systemd调用reboot()系统调用后控制权就交给了 Linux 内核。内核会与硬件主要是主板上的 ACPI 固件通信发出关机指令。这个过程的细节全记录在/var/log/kern.log里。这里藏着最硬核的证据尤其是当怀疑是硬件故障或恶意固件时。正常关机你会看到类似这样的记录May 12 02:17:05 webserver kernel: [ 1234.567890] ACPI: Preparing to enter system sleep state S5 May 12 02:17:05 webserver kernel: [ 1234.567891] PM: Powering offS5是 ACPI 规范中定义的“软关机”状态Powering off是内核确认电源将被切断的最终声明。但如果关机是异常的kern.log会立刻“报警”。比如我曾处理过一台因 BIOS 电池老化导致 RTC实时时钟失效的服务器它在每次关机后都无法正确保存时间kern.log里反复出现May 12 02:17:05 webserver kernel: [ 1234.567892] rtc_cmos 00:00: RTC cant handle time beyond 2038 May 12 02:17:05 webserver kernel: [ 1234.567893] rtc_cmos 00:00: unable to set the alarm, disabling再比如如果是sysrq强制关机kern.log会明确写出May 12 02:17:05 webserver kernel: [ 1234.567894] SysRq : Emergency Sync May 12 02:17:05 webserver kernel: [ 1234.567895] SysRq : Emergency Remount R/O May 12 02:17:05 webserver kernel: [ 1234.567896] SysRq : Power Off这些记录无法伪造因为它们直接来自内核空间是硬件与操作系统交互的原始日志。kern.log就像手术室里的心电监护仪它不关心你是谁、为什么关机它只忠实地记录下生命体征消失的每一毫秒。2.4 阶段四日志系统的“自我归档”——journalctl与二进制日志Ubuntu 16.04 及以后默认启用了systemd-journald它将所有日志包括auth.log,syslog,kern.log的内容以二进制格式实时写入/var/log/journal/目录。这个机制的好处是日志更紧凑、查询更快、支持结构化字段如_UID,_COMM,_EXE。坏处是它默认不落盘到文本文件一旦系统崩溃未同步的日志可能丢失。但对“关机取证”而言journalctl是最强大的武器因为它能跨日志源进行关联查询。例如你可以用一条命令同时搜索auth.log的sudo记录和syslog的systemd关机记录journalctl --since 2024-05-12 02:16:00 --until 2024-05-12 02:18:00 | grep -E (sudo.*shutdown|systemd.*Shutting down)更高级的用法是利用journalctl的结构化查询journalctl _COMMsystemd _MESSAGEShutting down --since 2024-05-12 02:17:00 journalctl _COMMsudo _MESSAGECOMMAND/sbin/shutdown --since 2024-05-12 02:17:00journalctl的优势在于它能让你把原本散落在三个文本文件里的线索瞬间聚合成一个时间轴。它不是替代/var/log/而是/var/log/的“超级索引”。3. 实战四步法从海量日志中精准定位关机证据理论讲完现在进入真正的“动手环节”。下面是我总结的、经过上百次真实场景验证的四步法。它不追求炫技只求稳、准、快哪怕你对 Linux 日志体系只有基础了解也能按步骤操作拿到结果。3.1 第一步锁定时间窗口——用last和uptime做初步侦察别急着翻日志先做两件事给你的搜索划定一个精确的“地理围栏”。第一用last reboot查看系统最近几次重启的时间点。last命令读取的是/var/log/wtmp这是一个二进制文件记录了所有登录、注销、重启和关机事件。执行last reboot | head -10输出类似reboot system boot 5.15.0-76-generic Mon May 12 02:17:05 2024 - 02:17:05 (00:00) reboot system boot 5.15.0-76-generic Sun May 11 18:22:10 2024 - 02:17:05 (07:54) reboot system boot 5.15.0-76-generic Sat May 10 14:05:22 2024 - 18:22:10 (04:16)注意第一行Mon May 12 02:17:05是系统启动时间这意味着它是在02:17:05之前关机的。关机时间一定早于这个启动时间但晚于上一次启动时间Sun May 11 18:22:10。所以我们的核心搜索窗口就是2024-05-11 18:22:10到2024-05-12 02:17:05这段时间。第二用uptime -s确认当前会话的启动时间作为交叉验证uptime -s # 输出2024-05-12 02:17:05这和last reboot的第一行完全一致证明wtmp记录是可靠的。这一步的关键心得是永远不要相信“我记得是凌晨两点”这种模糊记忆。last和uptime是系统给出的、不可篡改的“官方时间表”。3.2 第二步深挖auth.log——寻找“人”的签名有了精确的时间窗口我们开始第一轮深度挖掘。auth.log是突破口因为它直接关联到人。使用zgrep如果日志被压缩或grep# 搜索指定时间窗口内的所有 sudo 记录 zgrep May 12 02:17: /var/log/auth.log* | grep shutdown\|poweroff\|halt # 更精确的写法用 journalctl推荐因为它能处理压缩日志 journalctl --since 2024-05-12 02:16:00 --until 2024-05-12 02:18:00 _COMMsudo | grep -i shutdown\|poweroff\|halt如果找到了匹配项恭喜你已经锁定了嫌疑人。但别急着下结论继续看第三步。提示如果auth.log里什么都没搜到不要放弃。检查auth.log是否被轮转ls -l /var/log/auth.log*确保你搜索了所有历史文件auth.log.1.gz,auth.log.2.gz。另外确认sudo日志是否被重定向——检查/etc/sudoers文件看是否有Defaults logfile/var/log/sudo.log这样的行。如果有你就得去sudo.log里找。3.3 第三步验证syslog流程——确认“关机”是否“优雅”假设你在auth.log里找到了alice的关机记录下一步是验证这个命令是否真的被执行了而不是被某个脚本拦截或失败了。打开/var/log/syslog搜索同一时间点zgrep May 12 02:17: /var/log/syslog* | grep -E (Stopping|Stopped|Shutting down|Reached target)你期望看到的是一组完整的、有序的记录从Stopping开始到Shutting down结束。如果只看到Stopping nginx但后面没了那说明关机过程被中断了可能是nginx进程卡死导致systemd无法继续。这时你需要结合journalctl -u nginx --since 2024-05-12 02:17:00查看nginx服务自身的日志找timeout或failed字样。注意syslog里的时间戳有时会和auth.log有几秒差异这是正常的。systemd的日志是异步写入的auth.log是同步的。只要时间差在 10 秒以内就可以认为是同一次事件。3.4 第四步终极确认kern.log——获取“硬件级”证据这是决定性的一步。无论前两步结果如何都必须检查kern.log。它是最难伪造、也最不容置疑的证据源。zgrep May 12 02:17: /var/log/kern.log* | grep -E (S5|Powering off|SysRq|ACPI)你希望看到ACPI: Preparing to enter system sleep state S5和PM: Powering off。如果看到SysRq那就说明是强制关机auth.log里找不到记录是合理的。如果看到大量ACPI Error或ACPI Warning那就要怀疑是主板固件 Bug 或硬件兼容性问题了。一个关键技巧对比kern.log和syslog的时间戳。正常情况下kern.log里的Powering off时间应该紧随syslog里的Shutting down之后间隔不超过 1 秒。如果kern.log里Powering off的时间比syslog里Shutting down晚了 5 秒以上那几乎可以断定系统在关机过程中遇到了严重阻塞比如某个服务拒绝停止、磁盘 I/O 卡死或者内核 panic。这时候kern.log里Powering off之前的几行往往就是真正的“罪魁祸首”。4. 高阶技巧与避坑指南那些教科书里不会写的实战经验上面的四步法足以解决 90% 的日常关机取证需求。但现实远比教科书复杂。下面分享几个我在真实项目中踩过的坑以及对应的高阶技巧它们能帮你绕过绝大多数“假阴性”和“假阳性”陷阱。4.1 坑一“日志被清空了”——如何应对rm -rf /var/log/*的毁灭性操作这是最让人绝望的场景。运维小白或心怀鬼胎的人可能会在关机后、重启前执行sudo rm -rf /var/log/*企图“毁尸灭迹”。表面上/var/log/下一片空白。但 Linux 系统有一个精妙的设计systemd-journald的日志默认是“volatile”的即只存在内存中重启后丢失。但如果你在/etc/systemd/journald.conf中设置了Storagepersistent那么日志就会被持久化到/var/log/journal/。而这个目录通常不在rm -rf /var/log/*的删除范围内因为*不会匹配以.开头的隐藏目录/var/log/journal/是一个普通目录但rm -rf /var/log/*不会递归删除其子目录下的内容除非用了-r且路径精确。所以第一步检查journald.confgrep Storage /etc/systemd/journald.conf # 如果输出是 Storagepersistent那么 /var/log/journal/ 就是你的救命稻草。第二步即使Storagevolatile也不要放弃。/var/log/下的wtmp、btmp、lastlog这三个文件是二进制的且rm -rf /var/log/*不会删除它们因为*匹配的是文件名而wtmp等是文件不是目录。last reboot就是读取wtmp的所以last命令依然有效。lastlog记录了每个用户的最后登录时间btmp记录了所有失败的登录尝试。如果btmp里在02:17附近有大量ssh失败记录那可能意味着有人在暴力破解root密码然后成功登录并关机。经验在新部署的服务器上第一件事就是编辑/etc/systemd/journald.conf将Storage改为persistent并设置SystemMaxUse500M限制日志大小。这相当于给系统装了一个永不丢失的“黑匣子”。4.2 坑二“时间不对”——NTP 同步与日志时间戳的迷雾另一个常见陷阱是时间。如果服务器的系统时间不准所有日志的时间戳都是错的。比如服务器的 RTC 电池没电了每次重启后时间都回退到 2020 年那么auth.log里所有的May 12都是假的。这时last reboot的输出也会是错的。如何验证时间是否可信有两个黄金指标journalctl --list-boots这个命令会列出所有journald记录的启动会话并显示每个会话的boot id和时间范围。如果--list-boots显示的启动时间和last reboot显示的不一致那说明wtmp和journald的时间源不同其中至少有一个是错的。timedatectl status检查 NTP 同步状态。重点关注System clock synchronized: yes和NTP service: active这两行。如果都是no那时间就是不可信的。此时你需要结合其他线索比如dmesg | head -20内核启动日志的第一行通常包含一个相对时间[ 0.000000]这个时间是绝对可靠的因为它从内核启动那一刻开始计时。应用日志比如nginx的访问日志如果它记录了某个已知时间点的请求比如你手动 curl 过一个健康检查接口那这个时间点就是锚点。技巧在journalctl查询时不要只依赖--since和--until。可以用--boot-1来查询上一次启动的所有日志这比时间戳更可靠。journalctl --boot-1 | grep shutdown是一个万能的起点。4.3 坑三“不是关机是崩溃”——区分panic、oom-killer和hardware reset有时候你以为是“偷偷关机”其实是系统自己崩溃了。kern.log是唯一的判官。你需要学会识别三种典型的崩溃日志模式崩溃类型kern.log典型特征如何确认Kernel Panic开头是Kernel panic - not syncing:后面跟着一堆堆栈跟踪stack trace最后是Rebooting in X seconds或Machine restartdmesg -TOOM KillerOut of memory: Kill process ... (pid ...) score ... or sacrifice child紧接着是Killed process ... (pid ...) total-vm:...kB, anon-rss:...kB, file-rss:...kBdmesg -THardware Reset没有任何panic或oom字样kern.log在某个时间点戛然而止下一条日志是重启后的第一条Linux version ...中间没有任何过渡ls -lt /var/log/kern.log*看文件修改时间。如果kern.log的修改时间正好是02:17:05而kern.log.1的修改时间是02:17:04那说明日志是被“硬切”了极大概率是电源被直接切断。一个致命的误区很多人看到kern.log里有oom-killer就认为是内存泄漏然后去查应用代码。但在我处理的一个案例中oom-killer杀死的是rsyslogd进程而rsyslogd死亡后systemd-journald无法将日志转发出去导致journald自身内存暴涨最终触发了二次oom-killer杀死了systemd系统崩溃。根源不是应用而是日志配置不当。所以看到oom-killer第一反应不是查应用而是查rsyslog和journald的配置。4.4 坑四“日志太多看花眼”——用awk和sed构建自动化取证脚本面对 TB 级的日志手动grep是低效且易错的。我写了一个轻量级的 Bash 脚本find_shutdown.sh它能一键完成上述所有步骤并生成一份结构化的报告#!/bin/bash # find_shutdown.sh - Ubuntu 关机取证脚本 # 用法./find_shutdown.sh 2024-05-12 02:17:00 if [ $# -ne 1 ]; then echo 用法: $0 时间点格式YYYY-MM-DD HH:MM:SS exit 1 fi TIMEPOINT$1 START_TIME$(date -d $TIMEPOINT - 2 minutes %Y-%m-%d %H:%M:%S) END_TIME$(date -d $TIMEPOINT 2 minutes %Y-%m-%d %H:%M:%S) echo 关机取证报告$TIMEPOINT echo 搜索窗口$START_TIME 至 $END_TIME echo echo 【1. auth.log 证据】 journalctl --since $START_TIME --until $END_TIME _COMMsudo | grep -i shutdown\|poweroff\|halt || echo 未找到 sudo 关机命令记录 echo echo 【2. syslog 流程】 journalctl --since $START_TIME --until $END_TIME | grep -E (Stopping|Stopped|Shutting down|Reached target) | head -10 || echo 未找到 systemd 关机流程记录 echo echo 【3. kern.log 证据】 journalctl --since $START_TIME --until $END_TIME _TRANSPORTkernel | grep -E (S5|Powering off|SysRq|panic|Out of memory) || echo 未找到内核级关机或崩溃证据 echo echo 【4. 时间校验】 echo last reboot: last reboot | head -3 echo echo timedatectl status: timedatectl status | grep -E (System clock synchronized|NTP service)把这个脚本保存为find_shutdown.shchmod x然后运行./find_shutdown.sh 2024-05-12 02:17:00它会在 3 秒内给你一份清晰的报告。这才是工程师该有的效率。5. 从“找证据”到“防未然”构建一个无法被轻易抹除的审计体系挖出一次关机的证据只是解决了当下的问题。真正的价值在于把这次经验沉淀为一套可持续、可审计、可防御的体系。我建议在所有生产 Ubuntu 服务器上立即执行以下三项加固措施。5.1 措施一启用auditd记录所有execve系统调用sudo日志虽然好但它只记录了sudo这一层。如果有人绕过sudo直接用su切换到root或者用pkexecauth.log就抓不住了。auditdLinux Audit Daemon是内核级的审计框架它可以监控所有进程的execve系统调用也就是“谁、在什么时候、执行了什么程序”。这是真正的“上帝视角”。安装并配置sudo apt install auditd audispd-plugins # 编辑规则文件 sudo nano /etc/audit/rules.d/shutdown.rules添加以下规则# 监控所有关机相关命令 -a always,exit -F archb64 -S execve -C uid!euid -F euid0 -F path/sbin/shutdown -F keyshutdown -a always,exit -F archb64 -S execve -C uid!euid -F euid0 -F path/sbin/poweroff -F keyshutdown -a always,exit -F archb64 -S execve -C uid!euid -F euid0 -F path/sbin/halt -F keyshutdown -a always,exit -F archb64 -S execve -C uid!euid -F euid0 -F path/bin/systemctl -F argvpoweroff -F keyshutdown -a always,exit -F archb64 -S execve -C uid!euid -F euid0 -F path/bin/systemctl -F argvreboot -F keyshutdown重启auditdsudo systemctl restart auditd之后所有匹配的命令执行都会被记录在/var/log/audit/audit.log中格式如下typeEXECVE msgaudit(1715473025.123:45678): argc3 a0/sbin/shutdown a1-h a2now subjunconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 keyshutdownsubj字段里的unconfined_u就是执行者的 SELinux 用户keyshutdown是我们自定义的标签方便用ausearch -k shutdown快速检索。auditd的日志是二进制的但ausearch和aureport工具让查询变得非常简单。它比sudo日志更底层、更全面是防御“绕过 sudo”攻击的终极手段。5.2 措施二配置rsyslog远程日志实现“日志离岸”本地日志最大的风险就是和服务器共存亡。服务器一关机日志就没了。解决方案是把日志实时发送到一台独立的、高可用的日志服务器上。这台服务器不承载任何业务只负责接收、存储和索引日志就像一个“数字保险箱”。在客户端你的 Ubuntu 服务器上sudo nano /etc/rsyslog.d/50-remote.conf添加# 将所有日志发送到远程服务器 *.* log-server.example.com:514 # 如果 log-server 支持 TLS用这个更安全 #$DefaultNetstreamDriver gtls #$DefaultNetstreamDriverCAFile /etc/ssl/certs/log-server-ca.pem #*.* log-server.example.com:6514在服务端log-server.example.com上安装rsyslog并启用 UDP/TCP 接收sudo nano /etc/rsyslog.conf # 取消注释以下两行 #module(loadimudp) #input(typeimudp port514) #module(loadimtcp) #input(typeimtcp port514)重启服务端rsyslog然后在客户端执行sudo systemctl restart rsyslog。从此你的/var/log/就有了一个异地备份。即使服务器硬盘损坏、被人物理拔线只要网络在log-server上的日志依然完好。这是所有合规性审计如 ISO 27001, PCI DSS的硬性要求。5.3 措施三编写shutdown钩子脚本强制记录“关机理由”最后也是最人性化的一步让每一次关机都成为一次“主动申报”。在/etc/systemd/system-shutdown/目录下创建一个脚本它会在systemd关机流程的最后阶段所有服务停止后但电源切断前被执行。sudo nano /etc/systemd/system-shutdown/log-shutdown.sh内容如下#!/bin/bash # 这个脚本在关机前最后一刻运行 # $1 是关机原因由 shutdown 命令的 -c 参数传入 REASON${1:-No reason provided} USER$(who | awk {print $1} | head -1) TIMESTAMP$(date %Y-%m-%d %H:%M:%S) echo [$TIMESTAMP] SHUTDOWN by $USER. Reason: $REASON /var/log/shutdown-audit.log # 同时发一封邮件给管理员可选 echo Server $(hostname) is shutting down at $TIMESTAMP by $USER. Reason: $REASON | mail -s ALERT: $(hostname) Shutdown adminexample.com赋予执行权限sudo chmod x /etc/systemd/system-shutdown/log-shutdown.sh现在要求所有运维人员在关机时必须加上-c参数说明原因sudo shutdown -h now -c Applying critical security patch CVE-2024-12345这样/var/log/shutdown-audit.log就会变成一份清晰、