ANALISANDO LOGS no LINUX - Domine a arte de resolver problemas

Fala pessoal, bom ter vocês aqui novamente. E na aula de hoje vou falar a respeito sobre logs, né, no Linux, né, parte extremamente importante que é a leitura dos logs, que é para você tá e eh de cara com a maior fonte de informações de bom ou mau funcionamento e problemas, né, invasões, né, eh, problemas de segurança e saber lidar com ela. Se você não me conhece, eu sou Wagner Fonseca, especialista Linux e tô Aqui para te ajudar, né, você também a se tornar um especialista Linux, que é um dos profissionais mais requisitados e bem

pagos do mercado de TI. Se você quer ser um profissional eh que realmente sabe do que tá fazendo, aquele tipo de profissional que as empresas estão buscando, se você quer alavancar tua carreira, cola comigo, chega junto que com certeza você vai chegar lá. Deixa eu dar um alô aqui pro pessoal, né? Boa noite, pessoal que já tá aqui na aula. Tem um pessoal esperando aí, ó. Jorge, Daniel, Caio, Jorge, Elmo, Felipe, Za pessoal que tá chegando também. Boa noite. Que eu eu preparei, acabei de de de preparar literalmente uns logs bons aqui pra gente dar

uma olhada, né? Logisa real, de ambiente prático, né? Não, não log qualquer. Pra gente dar uma olhada aí. Uma das coisas que mais afeta o funcionamento de uma máquina, tá? Hoje em dia, vamos separar em caso, afeta o Funcionamento de uma máquina. Afeta o funcionamento de uma máquina, tá? Pode ser configuração de um programa, né, mal configurado ou até hardware, mas geralmente a gente tem mais hoje o problema de má configuração de algo do que é hardware. Outra coisa que afeta o desempenho de uma máquina pode ser mau uso dos recursos por parte do programa.

Isso pode ser causado por má configuração ou pode ser causado por Algum efeito externo. Efeitos externos podem ser acessos mal feitos e aí pode ocorrer de um de um de um de um erro de comunicação. E aí pode haver problema com a entrega dos programas, a entrega dos pacotes, problema com link provedor ou pode ser intencional. E isso pode ocorrer por causa de alguém intencionalmente querer prejudicar o funcionamento daquele equipamento ali. Então, Eh, qualquer coisa que denote um funcionamento anormal tem que ser investigado. Qualquer coisa que denote perda de performance tem que ser investigado, tá?

Ah, mas eu tenho Check MK monitorando ou na ou zap que seja. e ele vai te dar algumas informações, mas não vai te dar tudo. Então você precisa olhar eh eh paraa fonte de informações do sistema, que são os logs, que se o sistema for no mínimo bem configurado Ali, ele vai ter os logs necessários. Se o sistema for bem configurado, ele vai ter bastante log, né? Então não são coisas exatamente iguais, né? Sistema bem configurado tem os logs necessários pro seu funcionamento. Um sistema muito bem configurado, aquele cara, né? tem aquela, eu preciso de

saber tudo. Ele vai ter sistemas adicionais de registro que vão facilitar ali ao ao na busca de mais informações. Então, Nem sempre todos os sistemas vão gerar a mesma quantidade de informação. Depende de qual foi a intenção inicial de alguém configurou ali. Não só inicial, né? Você pode fazer isso no meio do caminho também, sistema de auditoria e tudo mais, mas qual foi a intenção de alguém que configurou aquele sistema ali, né, para gerar quantidade de informações? E muitas vezes a gente acaba eh eh perdendo um pouco nessa expertise de ler logs. Ah, mas eu

tenho C em ABCD pago ou Se em um open source. Eu tenho LK, blá blá blá, eu tenho data do São equipamentos, boas ferramentas, mas elas trabalham em cima de padrão, tá? Lembra que elas trabalham em cima de padrão, foram ensinados a ler padrões e aí começam a ter tomar decisões ali, ó, eu li isso, isso, isso. Provavelmente chega uma conclusão de que isso aqui que tá o problema. tal, geralmente funciona muito bem, mas é preciso que o especialista, que o Administrador, que o profissional ali saiba olhar para um log quando não tem esses caras

também ou saiba olhar para um log quando tem esses caras e extrair mais informações. E é um pouco disso que eu vou falar aqui hoje. Meu irmão água. Vocês vão descobrir que ficar um ou dois dias sem voz não é legal, porque você não hidratou o suficiente suas cordas rocais. Boa noite também, pessoal que chegou agora, né, tal, bastante gente aí falando boa noite. Então, quando você precisa ler informações, geralmente o sistema vai te entregar isso bem ali. Algumas diferenças vão ocorrer, se você tiver lidando com deb derivados e red derivados na localização de onde

as coisas vão ser tratadas, tá? Então assim, dependendo um pouco da localização de onde as coisas Vão ser tratadas, você pode ter um pouco mais, um pouco menos de informação. Só aproveitar aqui e vou pegar mais um aqui. Lembrei de uma máquina que eu posso olhar que deve tá tomando bastante pancada. Aí vou deixar ela aqui disponível para eu olhar também. Isso. Bastante, mais gente chegou ali. Então vamos lá. Quando a gente lida com logs, tá? A gente tem que entender o seguinte: logs Tem estrutura padrão. Ah, então todo log que eu vou achar no

var log é igual. Eu não falei isso, tá? Eu falei que todo log tem uma estrutura padrão. A maioria dos logs geridos pelo servidor interno de log tem mais ou menos a mesma estrutura. A maioria dos logs geridos pelo servidor interno de log, ou seja, pelos Rislog, pelo Sislog NG, pelo Sislog antigo, seja, tem a mesma ou quase todos eles a mesma estrutura. Existem logs geridos Pela própria ferramenta. Antigamente eh eh tinha servidor que você podia escolher. Você gera através do Sislog e você gera sozinho. A maioria desses servidores hoje já vem para gerar sozinho

seus logs, independente do servidor de log. Tem os logs do Sislog, são outra história, mas os principais logs que a gente lida, ele geralmente tem um padrãozinho ali que fica fácil você identificar. Se é Deb, provavelmente você vai ter no CIS Loghe você vai ter no messagers VARlog, tá? Varlog Slog no deblog message no headhe derivado. Basicamente o que tem no Clog é o que tem no messagers. Basicamente o que tem no Clog é o que tem no message. E aí os outros log geralmente são a mesma coisa. A grande diferença entreb e headhhead é

na localização do principal. vocês log ou message. Deixa eu pegar aqui. Isso. Eu separei Aqui alguns logs. É, separei aqui alguns lotes pra gente dar uma olhada, tá? Eh, se eu tô lidando com o funcionamento normal de um sistema, né? Primeiro lugar que eu vou olhar é aqui. Se eu falar que todo o Linux tem aqui, é basicamente uma obrigação. Todo o Linux vai ser no Varlog. Pode ser que um tenha um local diferente, pode ser. E aí é complicado porque é alguém que mudou um padrão, mas o padrão é para Existir aqui, tá? Então

você viu o que que tem 300.000 1000 logs, tá? É uma é uma é uma é uma instalação em nuvem. Eu escolhi por isso essa aqui para mostrar. É uma instalação em nuvem, tá? Log de de autenticação, tá? É aqui toda autenticação externa, né? Interna, autenticação de aplicações, não é só autenticação de pessoas que vão entrar na máquina. Autenticação de aplicações também. Então, às vezes, uma aplicação precisa de um privilégio para fazer Algo, às vezes um agendamento e tudo isso tá registrado ali. Eh, eh, eh, logs de autenticação padrão, log de autenticação privilegiada, autenticação que

demanda a autoridade de Rut, tudo ali. Aqui tem outros também que depende que não vão existir em outros locais. Se a se a máquina não existir em nuvem, se a máquina não estiver no EO, ela pode ter na WS, pode ter na Google, então tem alguns aqui que depende. Ó, eu tenho aqui porque é um um RMMM, né? Essa Máquina aqui tá escrito aqui RMMM, um mongo DB, eu tenho, eu fiz uns testes com net data coletando também e tudo que a empresa fazer parceria, n post gris, tá? Então, tem vários aqui, o o o

agente de de análise do tal. Então, tem vários outras coisas aqui que você não vai ver. Então, basicamente esses loges pro log geral, alt pro de alt pro de autenticação, né? Serviço que autenticação. Autenticação é pedir Autorização baseada em uma conta, tá? É isso que é demgão lá. Ó, o que é o Demesg? É um textão ASK que você pode ver através do VI no Demesg. O Demesg tem uma função interessante que basicamente, né, parte do que aconteceu ali no boot, podendo ser registrado de mapeamento de hardware, vai para ele. Não é não é o

boot que vai para ele, não é isso. Parte do mapeamento de hardware encontrado ali durante o boot. E pós boot também. Então, hardware que apareceu, saiu, hardware que deixou de escutar ou parou de responder, vai aparecer aqui também, tá? Então, basicamente você já, ó, tira algumas informações de hardware aqui, né? Ó, os endereços ali, ó, bio, o mapeamento, né, tal feito ali. Qual é o hiper? Quem não não sabe que no ejure a virtualização é feita pelo Hyperv, acabou de descobrir o que não acontece na GCP, tá? Ó, qual foi detectada aí a velocidade, né,

de de de processador. Aí começou, né, o o o controle de energia que foi catucando todo mundo para ver se todo mundo tá funcionando ali, né, com a CPI. Aí vem o numa, né, de de múltiplos acessos que é, né, para multiprocessamento. Aí onde foram os ranges de mapeamento de de memória locado power manager, né, ó, áreas que ele salvou para Hibernação. Então tem bastante coisa de hardware aqui, inclusive, tá? Quando você tiver hardware que possa estar apresentando um funcionamento inconstante, talvez o 10mic seja um bom local para você olhar. Eu não sei como é

que tá aqui na minha máquina. Eh, não tá, porque eu não botei ele. Hum. Minha máquina não Tem não. Eu acho que o Cislog eu tenho slog eu tenho. Não tô com demest. É, acho que eu desabilitei. Não adianta que não vai gerar agora o que eu quero. Vamos voltar para cá. Devia ter deixado aqui, ó. Para quem eh eh tem dúvida se o seu processador está ou não dentro daqueles eh eh daquelas falhas conhecidas que afetam o funcionamento de processador, o DEMC pode te dizer aqui, Tá? Na minha máquina, quando eu fiz instalação reduzida,

eu tirei um monte de coisa, inclusive parte do do dos log. Depois eu vou botar lá. Então aqui, ó, agora contra este aqui, ó. Especulative store bypasse. Hum. Ó, esse aqui foi mitigado. Esse aqui é mitigado. Ó, esse aqui foi sanitizado. Perfeito. Esse aqui, ó, SSB, ó. Speculative store bypass Vulnerável contra esse aqui, contra esse aqui, ó. Contra esse aqui, ó. Vulnerável, pode ser PU, não tem microcode. Isso aqui está. Por quê? Porque como é virtualizado em nuvem, essa versão de máquina virtual, eu acho que é da série B2S, se eu não me engano. Então

ela é uma versão antiga. Para atualizar isso tudo, teria que migrar para uma versão mais nova, provavelmente com processador mais novo. Mas aqui, ó, tá me dizendo aqui o que Que eu posso estar passando ou não. Então isso aqui são registros de acesso, tá? E quem tá dizendo essa informação, isso aqui é qual serviço tá me dizendo isso? É o Kernel. Então eu já consigo aqui ter uma noção de como essa máquina está funcionando. Inclusive quando uma placa de rede pode acontecer muito, eu falo placa de rede porque é o que mais aconteceu comigo assim,

passar a apresentar funcionamento em constante, você vai olhar logo aqui para Saber, tá? Você vai perceber logo aqui. Opa, cadê? você vai perceber logo aqui, porque vai começar a ter, ó, e acesso e eh eh NP3 S0, né? O NP0 S3, o que seja aí da tua placa aí e e upí vai ficar um endereço de de memória. Provavelmente ela não conseguiu e eh um endereço desse aqui, ó, ela de IO ou de memória, ela não ela perdeu o acesso. E aí você vai ver ele aparecendo e voltando aqui várias vezes. É um hardware que

tá com funcionamento Em constante, né? a parte do do da do dos pets assinados, ó, leve pet sign. Então, ó, ele tem certificado para ele não aceitar eh eh eh coisas, acessos a ao a kernel que não estejam dentro do dos dos certificados assinados dos pets válidos. Ó, que legal. Carregado suporte ST4 carregada virtual file system, né, que ele cria camadas em cima de alguém se você precisar. Carregado o suporte a vários Sistemas aqui. Pan, auditelin de cripts, tal detectado. Ó que legal o sistema aí já já não é o K, né, né? Já sai

do do boot basicamente, né, pro init, né, que aí já é o processo número um, já é o system. Não, não tem, não tem o kernel, não é um processo, tá? Ele é o kernel, então ele não tem um número. Aí vem o primeiro processo executado pelo kernel, que é o sistema D, ou seria o init em versões antigas. E ele vai dizendo agora vou carregar, vou carregar, vou Carregar, vou carregar, vou carregar. E aí começa, né, lendo isso aqui, lendo jornal, lendo audit, começa a montar o o o RP page file system, o HP

e eh eh o R page permite manipulação de arquivos muito grandes, tá? Dependema opera do sistema de arquivos que você tem. Se não tiver isso aqui compilado no kernel, você não vai conseguir manipular arquivo de mais dois teras, tal. Aí começa a carregar serviços e geralmente os HV são HyperV, Né? São processos do HyperV para poder fazer, né, essa troca de de entre sistema operacional e o hardware, né, que ele vai entregar pro sistema operacional. O audit, como eu falei, nem todo o sistema tem ali, né, sistemas para para ampliar a capacidade de auditoria, outros

tê, tá? E aqui, ó, ó, o o o bloqueiozinho do FW, né, TH0, como é que tá? Tá acesso aí que foram bloqueados aqui Vindo desse IP. Então o Demes é muito mais a ver, não é que ele só tem o que aconteceu no boot, não. Se houver alterações de hardware aqui durante o uso, eu também vou olhar no DMG. Eu posso fazer isso como eu fiz, ou eu posso digitar Demesg, que ele também vai compilar o que veio depois ali, ó. Olha, geralmente, né? Pipe pipeless, porque é muita coisa, eu não vou conseguir paginar,

tá? Não vou Conseguir ler isso aqui tudo. Mas você vai ver que o filzinho aqui botando sua sua sua target aqui, tá? Que foi, ó, tal? Alt saída, né? Tararã. Origem, destino, tararã, origem. O que foi permitido, não, o que foi bloqueado. Então, está para registrar log de bloqueio. Destination port 80, tamanho de janela, né? Tamanho e eh do do pacote que vai ali, né? Que a janela o size, o tamanho do do do pacote a ser trafegado, tal, se tá com a flag urgente ou não e Um pacote sim. E aí você vai ter

dados aqui do logo. Então você pode consultar de duas formas. Eu vou no arquivo, pego a parte do boot, vou aqui no comando, pego os acontecimentos posteriores. Não teve nenhuma mudança de harder, mas tem marcação para registrar esse cara em log aqui. Deixa eu ver aqui. Alisson, seu, boa noite, professor Wagner, suas aulas são top. Obrigado. Sou aluno do curso Linux Admin Pro. Até hoje meu investimento valeu a pena cada centavo. Muito obrigado saber, Alisson. É bom ter você aqui também na nossa live, cara. Eh, eh, isso aí, ó. Tem muito de aluno aí que

aí de treinamento é feito pro profissional alavancar a carreira, crescer. E é a ideia é essa. Agora vamos lá. Eh, vai falar do Cislog. O Cislog ou o Messengers, tá? Ou o messages do do do headh derivados, né? Vai ser o Varlog Messagers. Ele é mais amplo. Basicamente por quê? Basicamente porque O servidor de log ele vai ter aqui, né? Tem só parâmetros de configuração, né? Né, né? Ah, tá. Não tá aqui não. Então ele joga aqui no no arquivo confio. Eu prefiro jogar essas coisas aqui. CD barrc RX L. Ã 50 default. Aqui é

o padrãozão dele. Sobe, sobe, sobe. Então, ó, autenticação e autenticação privada com qualquer recurso, coisa de de autenticação privada é é coisa que Pede privilégio, Rut, né? Não é privado, é privilégo, mas é automaticamente autenticação privada, não. Autenticação com privilégio, coisa de rut, tudo, tudo que tem a ver, desde oi, bom dia até o mundo está acabando, que é o nível emergencial, pegando fogo no planeta. vai para esse arquivo aqui. Qualquer outra coisa menos porque altrive nenhum, ou seja, o resto todo vai pro slog, tá? O resto todo vai Pro slog. Aí tem os específicos,

a coisas de funcionamento do kernel, mas não tá aqui também, tá? Mas que tal a gente deixar separado, né? Coisa de funcionamento do Knio, coisa de funcionamento de servidor de meio, erros de servidor de meio e emergencial e tudo para arquivo, né? Você pode ver que vai tudo para arquivo, varlog alguma coisa. Esse aqui é o seguinte, qualquer coisa no nível emergencial, ou seja, qualquer tipo de De serviço que estiver a preservio do sistema, que tiver apresentando características de o mundo tá acabando, qualquer lugar, tá? Asterisco, qualquer lugar, qualquer terminal. Então, às vezes você tá

num terminal, às vezes até remoto, aparece um texto na tela. É porque aquela mensagem é de nível emergencial. E ele tem que jogar ela em qualquer lugar. Vai para log, vai para tela, vai para Se Tiver uma impressora dando mole, tem que ir para ela também. Exatamente porque ela tem que chegar para todo mundo. Então tem essas separações. Então o Sislog é nos Ah, eu saí saí do diretor. Então o Sislog é basicamente o cata tudo. Cata tudo. Então ó, ó. Starta serviço para serviço, Sislog. Erro de serviço, configuração de erro de configuração, sislog. Então,

tem o serviço NAT, tá? Que não é eh eh eh que é um serviço que usado, né, de de de registro de serviços ali pelo RMM, tá? Tá aqui, ó, o erro usuário, autenticação pro usuário, tal. Não existe aí é vários, né? Vários do mesmo lugar. Insistente. Eu quero pegar outra coisa. Serviço normal. Cadê? Aqui, ó. O log vem para cá também, aquele do demage, porque esse log quando A gente faz do coiso, ele vai pro log do kernel e o log do kernel também é capturado aqui e vai pro arquivo do kernel também e

pro log do dem. Isso aqui é do dia 15, ó, de madrugada, zero z0 hora, ó, direto esse miserável aí. Então o padrão v aqui voltando aqui o padrão do do log pelos servidores de log do sistema, data com hora. Servidor onde você tá, porque pode ser um servidor de log remoto, de que Máquina veio isso? Qual serviço? Dois pontos. O texto que aquele serviço mandou escrever, tá? Eu quero pegar eh eh start de serviço, erro de serviço. Ó, muito bloque, ó. Bloque de novo. Ah, aí a volta, ó. Firme update manager. Quero mostrar isso

aqui, ó. Ele tá lá tranquilão, na 3 horas da manhã na vida dele, lá lá lá funcionando. De repente um serviço foi Iniciado. Provavelmente debon ó ativou o serviço. Então o sistema, uma tarefa do sistema, ativou o firmeware update manager, foi lá, né, no no no virtual file system dele e baixou e a e atualizou o update manager do defirmware, tá? Ele chegou, olha, fu engine fail get release o fi. Ó, opa, no DBX, no releases found, não compatível com a versão tal. Preciso da versão 191, não compatível com a versão tal do freedktor.org, porque

eu tenho a 179 e Ele tá usando uma maior ou igual a 191. Então, opa, se eu quiser ter atualização automática de firmware funcionando para manter, sei lá, que tipo de hardware configuração eu tenha que fazer e queira manter ele atualizadinho, preciso atualizar o meu firmware update, que é um programa, tá? O FW update para a versão de 191 para cima, sendo que eu uso a 179. Pronto, já identifiquei algo no meu sistema que tecnicamente não está Funcionando exatamente na sua melhor forma. Ele funciona sim, mas para algumas coisas, tá? Para pegar o release de

F DBX, tá? Não consigo porque não é compatível com a versão em uso. Aqui, ó, file to get B DBX. No releases found. não consegue porque não é compatível com a versão 179, que é a minha versão. Eu preciso dessa aqui para cima. Então eu já identifiquei. Opa, beleza. Vou vou atualizar aí o o o meu o meu FW Update, né? Vou procurar se tem, se não tem. Talvez a versão do Windowux que eu esteja usando não tenha isso aí. Eu vou ter que ver. Talvez eu compile, talvez eu baixe. Como é o bounto? Talvez

eu baixe um backport, não sei. Vou ver aí para fazer uma uma atualização. E aí fechou aqui, ó. FWPD, beleza? Finish refresh FWn data. OK, releu tudo, tá normal. E toma ele desgraça também dentro do NAT, né? Toma o mesmo cara MP. [Música] Não, SW não. O Grafana tá normal, metendo log ali. Bloqueio do Fel o KS versus DGI também serviços usados pelo RMM. O grafana é o grafana. O RMMM usa que aqui eu tenho RMMM com gráfico, mas é o grafana em si, não é um serviço do RMM especificamente, não. Posso ter o RMM

sem ter ele. Quero que você pega outros problemas de serviço aqui. Mas esse Bendito Natiss aí é um spammer, ó. Python 3, nível info. Nível info não é nada grave. Alexander, o A Linux, ó, o agente, o A Linux é o agente da nuvem do E pra gestão aqui. Tã autate 1, mod errors zero. Então tá tranquilo. Os logs vão te dar tudo que você precisa saber, inclusive para mexer em algo na máquina. Não, vou passar logo pro servidor web. Aí eu tenho mais algumas informações aqui. Tã, cadê? Cadê? aqui, ó. Ó, esse IP aqui,

o cara tá usando Windows, tá? Tá usando Mozilla Chrome, provavelmente, né? Ktmlg, que provavelmente é Mozilla. Ah, ele tentou fazer uma injeção de código Aqui, tá? Tá? Ele pegou, tentou fazer injeção de código no meu servidor, shell code. Tá para qu, ó, com com hash, ó, de administrador. Ele tentou, né? Ah, não, esse aqui já é outro cara que tentou fazer um shell code também, né? Que gracinha. O que acontece? Esses códigos contra barra 008, eles tentam colocar dados dentro de determinadas áreas de memória onde o serviço roda para dar um crackzinho no serviço e

aproveitar para ganhar algum Tipo de acesso, executar alguma instrução, tá? Se você pesquisar aí, você vai ver que existe muito shell code para ataque. É que tá fora aqui. Ah, explorar um buffer overflow com execution code dx. Você você compila aqui, né, o o o codigozinho dele, dá uma executada. Ja. Aqui, ó. Ó, tá vendo? Eles pegam endereço de buffer. Desculpa, ele pega endereço de Buffer. O GDB é o debugger, tá? Você pode debugar o funcionamento de um programa usando um GDB, de um de um programa de C, né, compilado pelo GC, principalmente. Aí você

joga o payload ali, base, tem os endereços, códigos, tal. Aquele ali, ó, parte daqueles códigos ali, né, são muitas vezes injetados em máquinas aqui, tá vendo? Injetados em máquina para poder executar a função. Então, já que eu não posso Injetar um binário, eles injetam esses códigos X ali, que são parte do código gerado pelo algum exploit. E ali tem esse, cadê esse engraç esse engraçadinho aqui, ó, o meterrestre de administrador. Então, sei o que que tá acontecendo aí. Isso aqui não, isso aqui é mensagem normal do sistema. Faz um get HD hp expans network searchs

across the global pv4 multiple time perd identificando o cliente presença na internet f like to Exclude você coloca o seu IP aqui manda para cá. Esse aqui é aqueles robots, né? Aqueles eles chamam de robots que ficam escaneando os sites. Google tem isso. Tem aqui para ver se qual é o o servidor web que você usa para ver dados para você saber. Se você quiser sair dos scanners, você manda manda para cá, tá? O seu servidor web. Esse aqui é bem maior, né? Ou outro malandrinho aqui, né? Ó, esse aqui é o 35 também, ó.

Ó o codigozinho que ele tentou injetar aqui, Ó. Ele tem aqui, ó, esse aqui tentou pegar, tá? O dados da minha sessão PHP com PHP Storm. Tá, esse aqui já injetou outros códigos. Esse aqui tentou pegar esse arquivo aqui. Os caras tentam pegar certos arquivos que existem certos padrões de servidor, porque se ele pega o arquivo, ele vai ter certeza que tá usando ABCD software, talvez ABCD versão ou talvez dados de sessão, que às vezes a porcaria do servidor web grava dados De sessão ali em vez de gravar numa área isolada do sistema. E aí

ele pode com aquilo ali descobrir algo para acessar a tua máquina. Deixa eu ver aqui, ó. Wagner trabalha com infraestrutura desde 2000. Observe mercado de desenvolvimento. Pensei em migrar, mas cenário está instável. Vale a pena ou foco em infra e nuvem? Particularmente, eu acho que você deve ter infra e nuvem e as principais linguagens de desenvolvimento que vão Est ligadas à infrinuvem, né, como Python, Anw, né, essas linguagens assim, Shell, é claro. Então eu ficaria nessa área aí, tá? Se você acha que que migrar e tá sentindo um mercado instável desenvolvimento, ficaria aí. Boa noite,

Eduardo. Valeu, Eduardo. Tá lá de Portugal, já é quase, já é madrugada lá, mas fica acordado assim mesmo, hein? Então, volto aqui. Então, tá vendo? Ele fica tentando caçar 300 Milhões de arquivos. Então, isso diz o seguinte: "Lá no meu servidor web, lá no meu servidor web, quando o cara não tem a ver comigo, eu não escrevo páginas. Não escrevo páginas". Então, por que que eu tô olhando isso? Porque quando eu for montar o projeto, tá, desse treco aí para falar pro Dev que, ah, vou usar isso, vou usar aquilo, que eu peguei, tem modelos

framework, não sei que falei, toma cuidado com isso, com isso, com isso, com isso, com Isso aqui por porque eu sei que são eh eh diretórios, arquivos que já são padrão do cara, pode ver que é o mesmo IP aqui, no caso para vocês aqui, ó, o mesmo IP, ó, fazendo scanner. Arquivo tal, arquivo tal, arquivo tal, arquivo porque é um padrão. Quero pegar, quanto mais informações eu pegar da sua máquina, do que você tá usando da linguagem da versão eu vou ter mais e eh informação de como Derruba. Deixa eu detonar outro IP. Outro

IP era esse aqui. Aí fazendo, tentando pegar lá e botando os codigozinhos aqui. Tentar executar um CGI Binzinho. Isso aqui, ó. Isso aqui, ó. Isso aqui quando, mas isso aqui é básico, né? é você não deixar CGI e você não liberar a saída da área do servidor web, porque ele tá tentando vai lá no diretório do AP CGIB, porque o AP tem um diretório Que ele chama CGB. Não interessa onde no sistema tá o APCH tem uma configuração que tiver no us ba ba CJ o APACH chama ele só CJIM vai lá volta um diretório,

volta volta volta volta e procura o barrabim/SH. Se não existir diretório para voltar você não volta. Olha que malandrão. Se não existir diretório para voltar, você não volta. Ele vai chegar no bar, vai tentar executar o BIM SH. Se ele conseguir executar o BIM SH, que que Ele vai fazer? Eu tenho shell. Se eu tenho shell, eu mando comandos agora. Pego, acesso a essa máquina. Post, olha o que que o bonitinho fez, ó. Post, né, do Hello Word para dar PHP input. Post, ó. Get post. Ele tentou. enviar isso aqui, ó, para mim, ó. E

é assim que vai ser. Então, como é que eu posso olhar a sanidade de uma máquina, Blogger? Mas se eu não sei entender o que que tá acontecendo aqui, vai ter coisas que são normais de acontecer, são naturais, que fazem parte do acesso ao seu servidor. E tem coisas que não. Você tem certeza que não? Eu tenho certeza que não, porque eu tenho certeza que essa isso aqui não tá liberado, não existe esse arquivo, nada disso aqui existe dentro do meu servidor, entendeu? Então eu sei que ele Está procurando formas, ó, o arquivo padrão, ó,

do PHP, EVAL Standard Input, vai ter dados de de que me permitem inserir coisas através do PHP. Não posso dar mole. Então isso vai te ajudar numa discussão com com o dev web. Vamos fazer: "Ah, mas eu uso framework, tal". Então vamos ter cuidado, vamos tirar isso, vamos bloquear aquilo, vamos dar mais segurança Nisso. Aqui, ó. Mais código. Mais mais código aqui, ó. Então você vai isso. Ah, mas eu tenho a parte, vai ser a mesma coisa. Ah, eu tenho IS. Se o log do IS fosse bom, você também veria a mesma coisa que ele

vai tentar fazer a mesma coisa. Pena que o log do Windows é todo bagunçado. Não tem sentido. Aqui, ó, tentou mandou, tentou pegar um dado de sessão. Talvez ele tenha conseguido em algum lugar um. Isso aqui é um token de sessão Para fazer login, tá? Isso aqui é um token de sessão para fazer login. Tentou entrar na pasta de scripts e e executar um monte de JS para ver se eu tenho, ó, para baixar, né? Tentou ver se eu ten que ser ele pega esse JS. Ele vai tentar fazer um post com esse mesmo nome

JS, só que com código modificado. Ó que safadinho. Aqui, ó. Ó, tem pegar me relê. Bá. Então, quem mais, aonde mais eu vou recorrer para entender da sanidade do meu servidor para log? Então eu preciso saber como chegar aqui, independente de ter o ASU Central Manager e sei lá o quê, CM, de ter logw, de [Música] terk elastic log static banner, independente de ter ferramentas de leitura, de análise de log, eu tenho que saber ler isso Aqui. Eu tenho que saber ler isso aqui. Porque elas não vão me dar certas lógicas que eu posso ter

aqui. Lembra? Elas fazem aquilo que foram ensinado. Segue padrão, faz o que foi ensinado. O ser humano tem insite. O ser humano olha aqui e e e tem uma ideia maluca. Às vezes a ideia maluca que resolve o problema. Voltando aqui aos logs que eu preparei, tá? Logicação, tá? Tã. Servidor autenticação post, né? Zem out. Autenticação do Zem Pach. Tã. Aí tem o token da sessão. Lembra que eu falei de token? Cara, quando os caras conseguem roubar esse token, eu não sei se vocês tão tão tem algum conhecimento, né, de linguagem de programação que usam

essa questão de controle de sessão, programação principalmente web, né? Toda vez que você faz a você precisa se autenticar, tá? Então existe a questão, eu não posso ficar trafegando nome senha toda hora, né? [ __ ] homem Senta toda hora é merda, o cara vai arrumar um jeito de ficar catando ali. Então eu trafego num determinado momento, gero um token que é, ó, só o tamanhão desse desse código aqui, tá? É um token daquela sessão que tem um tempo de vida aqui, ó. O tempo de vida é esse aqui em segundos. É isso aí. dividido

por 60. Ainda não sei quantas horas aqui, né? É. Então isso aqui, esse token aqui diz o Seguinte: "Eu abri o meu browser chegar lá, autentico. Enquanto o meu browser tiver aberto, ele vai usar esse token para continuar falando com o serviço lá atrás, igual lá com o que tava naquele PHP, o cara tentou usar um token. Se alguém capturar esse token, que ele é cripto, é transmitido criptografado entre A e B, esse log não é de acesso a todo mundo, só é de acesso de root aqui nessa Máquina. Mesmo se eu entrar aqui com

um usuário que não é root, não conseguiria ler esse arquivo. Se o cara capturar eh eh esse arquivo, e aí como é que o cara captura esse arquivo? Ele invade a máquina do cliente lá. O cara não tem um bom antivírus, não tem uma boa proteção ou acessa tudo que é porcaria no mundo. O cara pega esse token, ele bota esse token no browser dele e consegue se fazer passar por esse Cara falando com esse servidor. Então, no caso que é um servidor de meio, ele conseguiria pegar da máquina dele, nem se autenticou, não sabe,

não sabe usuário e senha, mas com um token ele chega lá. Aqui, ó, autenticação do Chrom, o agendamento feito. Pediu o credencial do usuário Zimbra e foi dado o credencial do usuário Zimbra para ele. Opa, cadê? Aqui, ó, o agendamento pediu o credencial do usuário Zimbra para poder Fazer alguma coisa. Então, é um agendamento pro Zimbra. Ele pegou, OK, beleza. Passou o ADM empresa logou. Aqui aqui é do dia 14, 20 e poucas horas ontem, né? Login serviço, né? Se estender tal, login no sistema, ó. Autenticação do exemplo planilha DP empresa que é o e-mail

lá da empresa. Authentication failed. Alguém tentou acessar o servidor de e-mail com esse Usuário, porém não funcionou. Falhou por algum motivo. Deixa eu ver. Pode ser out failet. Authenticate fa provavelmente senha, né? Autentication F. Provavelmente é senha. Aqui eu vou identificar as contas mais visadas, mais atacadas. Ó, aqui não, esse cara foi autenticação. OK. Ó, esse aqui o SSH agora. Esse aqui é legal. Esse usuário seis adminou daqui. Request invalid user. Esse usuário não é liberado para SSH, tá? Usuário, eu nem quero saber da senha. Usuário desconhecido. Tchau. Chuta. E isso aqui vai passar para

um log que eu vou mostrar daqui a pouco. Deixa eu dar [Música] aqui. É meiaoiteia lá, né, Eduardo? Fala aí, Mauro. Python eu já domino. Isso aí pensando em reativar minhas Certificações. LPI já era mais do que hora, hein. Silvio Stroz, boa noite. Cheguei tarde novamente. Chegou um pouco, mas vai acompanhando aí, meu camarada. Denis Santos, eles devem estar na live. É, deve mesmo. Safado tá invadindo a minha máquina lá. Eon fala, professor. Boa noite, mas também um aluno aqui. Leonardo 14, boa noite. Tem previsão paraa abertura das turmas do Linux admin, cara. Turma da

formação. Vai lá No meu site, todas as informações estão lá. Entra na lista de espera, você vai receber todos os dados lá, tá? aqui o meu site aqui. Entra lá e já faz, já fica pronto lá para receber logo que a gente abrir a turma. Eduardo, novo layout do portal dos treinamentos ficou fantástico. Parabéns. É, basicamente foi obrigado a mudar todos os layout, já que o mundo está ficando diferente lá no Hotmart, né? Preciso criar vergonha na cara e Dedicar meus treinamentos, mas o dia a dia me consome muito. Vamos arrumar espaço na agenda, meu

camarada. Aproveita log as oportunidades estão só aumentando. Biza, como a IA pode ajudar a interpretar logs? Se você ensinar a IA, eu não vou dizer, não sei o que que foi ensinado ao chat GPT, o que que foi ensinado de psique, mas você pode estar o lhama, por exemplo, que é uma IA open source, ensinar a ela a entender os logs, apresenta um monte de dados, Apresenta o resultado, apresenta os dados, ensina ela a interpretar, ela pode te ajudar a a olhar e resumir isso aqui, não é Ia, mas a gente ensina o feio tuban

a interpretar isso aqui. E a só faz isso de uma forma em vários níveis, né? vários isso mais isso e isso junto. Mas se tiver isso, se não tiver isso, ela tem vários níveis, mas eh eh eh se você ensinar ela faria assim, ela faria. Ah ah tá Tá lá. Fa de password de invalid de user sis admin disconnected phone. Bye bye. Bye bye. Aqui ó. Bye bye. Tchau otário. Ó, eh, sudo. Então, é para para escalonamento de privilégio interno, tá? Então é o sudo, não é o eu usando o sudo. São serviços internos que

usam o sudo para escalonar privilégio. No caso do Limbra, login normal de SSH, tá? Password, aceito, login Normal. Invalid user. O root existe, mas o root não tá na lista de usuários permitidos. É lógico que não. Qual é o único usuário que todo mundo sabe que existe no Linux e no Unix? Что? O cara usou o número seis como usuário. Tem gente que bota um número como como usuário aí. Usuário seis. Não é a palavra, não, é só o número. Seis. Esse arquivinho aqui, Ã, 89.000 linhas. Ele só tem dois dias, só dois dias. Então,

geralmente, que que acontece? Deixa eu pego aí, né? Regrap só linhas que tenham pari um pouco a minha vida, né? Invalid ou failed, né? No caso aqui, logil. No caso aqui, log. Loc a SSH. tentou usar com SSH, não existe. E-mail, ó, falha de autenticação. Falha de autenticação, mas quero ver se tem mais SSH. É, vou botar SSH aqui no no filtro. Tô pesquisando linha que tenha invalid ou failed ou SSH. Isso ficou um pouquinho melhor. Ó, a empresa foi, da empresa foi, DM empresa foi. Não, só quero invalid ou failed. Aí eu faço um

outro filtro com SSH. Melhor, né? Aí fica só eles aqui. Aí tem bastante coisa. são mais de uma linha, porque ele tem, né, o pré-out para aquele Cara aí, o erro para aquele cara, o pré-out para aquele cara, o erro para aquele cara. Al, eu vou pegar só o de invalid, não, só o de failete. Isso. Agora eu vou 196, só de ontem para hoje, 196 tentativas diferentes disso. Lembrando que esta máquina, eu até trouxe o log aqui, tem feio tuban. Ou seja, o cara vai tentar algumas vezes e já vai ser bloqueado. O Log

do FBAN é o mais objetivo possível. A data que ocorreu, hora segundo, milissegundo, serviço dele, qual era o PID que ele tinha naquele momento que você pode reiniciar, ele vai ter outro PID e funcionamento, né? Lei lá o arquivo, bã. Tá, ó, esse cara encontrado, rotation detect, fez o padrãozinho de leit foi com a restart dele e aí mandou ver, ó, encontrado esse cara. Encontrado, encontrado, desbaniu esse cara, né? O Amban. Por que Amban? Porque adoraria manter esse cara banido para sempre. Mas IPs dinâmicos. Digamos que um usuário entrou no cyber café, cybercafé existe, entrou

em algum lugar de internet com com notebook dele, pegou um IP eh eh pelo provedor mesmo de internet lá, pelo pelo 3G, acessou o e-mail, tal, errou a senha. Bolqueei aquele IP três vezes eu bloqueio padrão. Bloqueei aquele P. Aí ele saiu, usou, desligou, voltou. Aí outra vez ele pegou o IP. Se o IP continuar bloqueado daqui a 5 dias, se dias, ou o bloqueado para sempre, o cara nunca mais vai acessar o e-mail e o IP que vai trocando, o IP dinâmico de residência. Então, então eu deixo ele por 72 horas, tá? antes de

limpar ele. E aí ele tem que ser desbanido, né? O amban. Outro aqui, ó, a maioria aqui foi logo de e-mail, Né? O size L também, que é autenticação no e-mail, próprio servidor de e-mail postixo, tá? O Zimbra Recipient. Então, ó, destinatário que não existe, tão tentando mandar, né? Bombarradear servidor SSH. Achei aqui, ó. Alguns daqueles caras do SSH foram bloqueados. Sendo bloqueado, o que que ele vai fazer? Ele não vai mais conseguir mandar lá. Então, o cara fez três vezes, foi bloqueado, não vai Conseguir mandar. Então eu reduzia a quantidade de gente que conseguia

ficar tentando acessar usando fe eh eh eh acessaram SSH porque eu passei a usar o FBAN. Ó, SSH, SH, SH, SH, SH, SH, SH. Uma, o que tem mais hoje é e-mail ali, né? Você pode ver. Então o log o log do FB é muito objetivo. Entrou no FBAN, saiu do FBAN. Ponto. Entrou no FB ban. Aí daqui a pouco tem um ban aqui qualquer. Cadê? Tem ban e tem um ban aqui qualquer. Ah, daqui a pouco tem algum, mas vocês viram lá que tinha um cara que foi o banido. Por quê? porque infelizmente não

posso manter um IP indefinidamente na lista de bloqueios ali, exatamente porque ele pode ter ou não eh eh alguma coisa acontecendo para ele fazer isso, né? Pode ser que é um IP dinâmico, alguém usou e daqui a pouco ou até Alguém legítimo que usou errou e o IP de casa fixo vou deixar banido para sempre. Não, né? E também trouxe um mail.log log para vocês terem um pouquinho de noção do que é o que registra o servidor de e-mail, tá? Eduardo chegou a assistir pessoa de interesse? Não, não vi não. Iá puro. É, mas a

Iá é sempre tem que ser ensinada, né? Lembrando disso. Red, boa noite, professor. Chegando na live agora. Já deixar aquele like sempre. Isso aí. Então, se você não deixou já, ó, se você ainda não tá inscrito no canal, se inscreve. Já senta o dedo na like, tá? Já manda logo aquele like maneiríssimo. E para você tá sempre sendo avisado, marca aí o sininho, sempre ser avisado quando sair um vídeo novo, tá? Geralmente as terça, todas terça-feira eu tô aqui pra gente poder conversar, aprender, tá? E precisa também falar comigo ali, mandar alguma pergunta, algum direct

lá, pode mechar No Instagram @wagnerfonseca.com.br. Deixa eu ver se eu consigo pegar a thread aqui inteira. Vamos ver aqui, ó. Esse cara aqui, ó, com 49. Tentou conectar aqui no servidor. Deixa eu tirar aqui na porta 25 do servidor. Beleza. Pass New, conexão nova, ó. Pode ver que isso aqui, apesar de tá em linhas diferentes, é a mesma, é o mesmo assunto. O número do processo aqui, Ó, com esse P aqui. Vamos ver, ó, ele aqui, ó. Já joguei ele para outro processo. Um 49, tarará. Passou do do da verificação inicial. Vou jogar o processo

do servidor mesmo. MTPD. Tará. Combinei as cifras da nossa comunicação com ele. Empresa com BR. Nã pen filtro. Patrícia empresa com BR. Patrícia empresa com BR. Ó, mandar e-mail from, né? Quem foi que mandou para quem tá mandando? Eu continuo com ela que é o o o processinho aqui no Kelway. Não precisa não não tem enfileramento para ela. O filtro passou bounces senderadas passou pelo filtro da Maves. Essa aqui é outra. Tarã. Isso aqui já já até foi. Cadê? Ah, esse aqui é o ID da mensagem, tá? Isso aqui quando a gente enfilera é esse

aqui que eu vou procurar lá. Quero ver se eu acho da outra. Não, ver se eu pego outra trade maior, Ó. Esse aqui, ó. Mensagem ID, market panel aqui, ó. Achei ele aqui, ó. Aquela mensagem lá foi processada, agora ela entrou na fila, ó. Agora ela ganhou o ID. Agora ela ganhou o ID. Achei ela porque, ó, Maet Panel para Patrícia Empresa lá. É M291 MQ. Então é o mesmo, é o mesmo serviço lá. Foi pra fila, bounces p bã. Perfeito. Tarã. Patrícia empresa relay que é o servidor tal. Status sent Delivery. OK, essa mensagem

chegou na caixa, tá? Essa mensagem chegou na caixa lá. Como é que eu sei disso? Porque eu consegui ler aqui. Então, eu peguei aqui primeiro a conexão que ele abriu, que estava aqui algha que começou aqui, ó. Cadê? Ó, connect. Esse cara aqui. Como é que eu sei que esse aqui é o mesmo? mesma mesmo IP e porta, mesmo processo. Vou continuar acompanhando esse IP aqui. Conectado, ó. Joguei para Outro processo aqui. Era o post screen para comunicação inicial, foi para SMTPD. Mesmo processo, negociação de cifra, mesmo processo. Ainda não tem fileira. Vamos lá, vamos

tratando. Vamos ver se ó, passou pelo filtro. Eu não jogo na fila. Cadê? Eu não jogo na fila se eu não passar pelos filtros iniciais e não entra no servidor de e-mail propriamente dito. Jogou para filtro pá, Ó. Permite TSS client. E é, mas não acho que TLS se cert ainda. Nada de fila. Fil bounces. Aí ele cria todo esse nome inteiro aqui, porque enquanto tá lá, ele tá esse cara aqui tudo. Ele tá vindo desse cara e tá indo para essa pessoa aqui. 26399. Ah, eu perdi, perdi ele. E agora vou procurar. Não é

esse e-mail, pô. Não, não É, não é esse e-mail, não é esse ID, porque esse ID tá associado a esse aqui ainda não não tem nada. Não é esse ID. Arã, foi para cá agora ó. 26399 cliente tal. Bun. Ah, opa, agora eu achei aqui, ó. Cative ative. Não passei. Era aqui. Market pen. Ó, mensagem aqui. Não, não vai ver aqui Não. Aí jogou para cá. Beleza. Ó, B bounces Patrícia aqui, ó. Esse Patrícia Empresa M pen. Isso agora, agora que achei não, verdade. O código do bounce aqui peguei, ó. Connect empresa delivery. OK. E

aí removed, ou seja, foi entregue, saiu da fila, eu tiro ela ali da fila e avisei. Então todo a vida da mensagem entre bater na porta, toque toque toque, até chegar na Caixa, eu consigo rastrear pelo log de meio assim, quanto tempo assim é diferente um pouquinho do que você costuma ver. É porque ele não pega todo mundo, ó, essa aqui é um e-mail porque cara tá uma porrada de e-mail diferente acontecendo ali. Envia, não receba, envia, receb. Mas assim, um tempo você começa desse, você começa a entender. Então tem sempre um início de conexão

em algum lugar. Ver se eu pego outro início aqui. Ver se aqui, ó. Ó, SMTPD Connect from. Ah, Lost Connect. Ó, isso aqui não. Isso aqui já já não é. É alguém que tentou conectar, mas foi detonado. Connect from e desconnect from. Já nem deu tempo de acontecer. Connect. Lost connect. Não, preciso de uma conexão que funciona. Deixa eu jogar aqui para cima. uma conexão que tenha funcionado. Anonimus TLS connect From. Cadê Anonimus? TLS Connect. processo connect from final 743. Vamos ver o processo aqui. E e mensagem local, rut@ empresa não vai é mensagem local.

Mensagem local não conta. Eu quero ver alguém de fora. Queria pegar quem veio antes desse processo aqui, mas não consegui ver. Clubet Cenderá Trig Filter Amáveis Far. Pronto. Agora não é mensagem interna porque não tem porque a mensagem é interna. From é interno para mandar para Alguém de fora. Mesmo processo. Taranã. Siz login username disconnect from client. Authenticate online data quit. Ó, então isso aqui enviou, tá? Aqui, ó. 2 2 3 1 2 2 3. Tá acompanhando pelo pelo processo. Ó, esse aqui, ó. LS perdeu conexão, morreu aqui. Então, eu consigo rastrear, é bom, é

bom mensagens externas, né? Consigo rastrear todo o processo de Acontecimento de uma mensagem só por um log. é mais trabalhoso, é lógico, porque nem tudo, se eu quiser pegar só o ID da mensagem, eu vou ver parte do que aconteceu. Então, eu quero pegar essa mensagem aqui, ó. Passou, tá? Sender, não delivery, notification, size e tal, foi para aqui, ó, from, né? Isso aí eu perdi o dado de quem veio, ó. Ó, já perdi parte do que a informação porque tá em outro pedaço do processo e foi para esse cara aqui, tá? Status sente. Pô,

beleza, foi e saiu da fila, mas eu perdi parte. Então, só saber o ID da mensagem não me dá tudo. Geralmente acompanho a trad. Eu vou achar esse cara aqui pelo ID. Depois de achar esse cara aqui pelo ID, cadê agora a porcaria do ID? Depois de achar esse cara aqui por aí de Não, vou botar aqui 2 2 353. Deixa eu bugar isso aqui. Ah, tem outras mensagens, só que você começa Com Não é essa aqui não. Ela começa com DCR final 22 353. DCE 225. É esse aqui, ó. Então, vou pegar esse cara

aqui, esse processo aqui e vou procurar onde houve a conexão. Ah, não, isso aqui já foi antes. Tem que achar antes porque ele, ó, pegar esse ID aqui de mensagem e vou procurar, ó. Esse aqui foi pra empresa from pro meio ambiente. MG J 31 230. Provmente esse cara aqui foi essa conexão associada aqui, porque esse cara aqui é um processo, é o postfix cleanup que faz uma coisa. Este cara aqui é o bom e esse cara aqui é o qu Manager que faz outra coisa. Pode ver que esse no qual é o emend local,

é é o transporte local, é o LMTP. Esse aqui de volta no QMGR. Tá vendo? Quando é o mesmo processo, é o mesmo PID, porque ele tá tá tando a Mesma mensagem. Quando é processo diferente, aí tem outro PID. Então não adianta eu pegar só PID, nem só identificação da mensagem. Eu tenho que ler o log. Mas eu, lógico, vou sair daqui às 10 horas, mas eu consigo pegar todos os dados aqui para entender de quem foi que bateu primeiro a conexão aqui para poder chegar lá, entregar aquela mensagem pro meio ambiente. Provavelmente começa aqui,

ó, no qu para clube from meio ambiente, ó, meio Ambiente tá enviando. Então, provavelmente vou ter que pegar daqui, ó, esse cara aqui. Ah, é de dentro para fora, então é from meio ambiente. Leonardo Golveia, fala aí, Leonardo. Leonardo conhece esse dados. Tem um C no Virtual Box. Quando tentei ligar a máquina para estudar, deu tela preta. Sinal mais piscando toda vez que dá esse erro porque tem espaço e memória. Porque tá sem espaço e memória. Cara, lembra que você tem uma ferramenta aí que não é feita exatamente para ser econômica. Não é um Linux,

é um Linux já preparado com um monte de coisa. Então, entregue recursos para essa ferramenta. É isso. Só quando tiver conectado vai conseguir fazer. Quando vai liberar as inscrições para nova, cara, já acessa aqui. Eu botei aqui o link, né, wagnerfonseco.com.br BR e já entra lá que logo que abrir a a a nova turma, eu Já te informo lá, já entra na lista de espera, tá? Bizó, os processos IPs sempre aparecem entre colchetes? Nem sempre, mas geralmente o log do postfix é assim, tá? O processo IP vai entre cochete. Com certeza e vi um aviso

de acesso mensagens desse meio ambiente, principalmente para Iaru. Principalmente para Iaru. Salve Wagner. Qual sua sincera a Respeito Lark? Cara, eu já falei aqui no outra live a respeito dessas distribuições, tá? Inclusive, quando você escolhe o seu desktop, se você tem tempo para aprender e personalizar, ele é ótimo, tá? Mas em termos de mercado de trabalho, a busca é baseada principalmente entre deben e Redhead Rad. Não vai, não vou dizer que não vai haver vagas que procuram alguém que tenha conhecimento mais profundo em Arc. Vai haver, mas o foco é Debhe Rad. Isso aqui tô

eu tô na na manhã do dia 14. D uma olhada aqui de ontem para hoje. 1.197.952 linhas. Só e-mail só. Vamos pegar mais para cá, ó. Vamos descer pra linha 100.000 aí. Ainda tô ontem. 100.000 era meio-dia de ontem. Eh também local não quero. Também local não quero. Quero pegar uma externa. Ó, aqui, ó, que deu aí, ó, em mensagem Local que tem o timeout. Provavelmente tá com excesso de de acesso de novo esse carinha aqui. Ó, quando tem problema, eu error, tá? Que vai já. Então eu tenho aqui, ó, o gerenciador da fila. Então

quando tá no QMGR, com certeza ele tem uma ID. Nem sempre ele tem uma ID antes de entrar no QMGR, tá? Então eu preciso procurar aqui, né, do SMTP quando, ó, tá acontecendo aqui, [Música] Cinap, do bounce, né? O BS pode gerenciar a entrega ali quando a fila tá não tá acontecendo. Então eu consigo saber tudo, inclusive se ó ó enviado para não é lacoste, é la poste com P. Tá bom? Olha bem óã SMTP rejeitou esse cara status deferir, né? o CMTP tal service [Música] refuse Vitor Service, vamos fazer em inglês, Né? Please try

later. Foi negado o acesso desse servidor, tá? Não conseguimos enviar para e eh não conseguimos, desculpa, receber desse servidor. Serviço negado. Por favor, tente mais tarde esse cara aqui. DNS sec validation. pode não tá acontecendo, né? Poxa, dá um não tô conseguindo validar o DNSC dele. Então, às vezes você não vai conseguir receber e-mail porque o servidor do outro lado não atende Critérios mínimos de segurança. E até para você dizer pro cara lá, olha, não estamos recebendo de provedor tal porque o provedor tal tá todo cagado. Você tem que ler o log para saber. Provavelmente

algum processo não tá fechando corretamente. Olha como é que estão os processos lá. Os logs vão te dizer isso, tá? Olha como é que tá o processo lá. alguma coisa não tá fechando. Olha os processos abertos, manda fechar na mão, ver quem tá Demorando. Desligar não é rápido, só quando todo mundo fecha rápido. Pessoal, não é só debem RH, não. Suzi também tá crescendo muito. O Suzi é um head derivados na sua, o seu globo é um head derivado, tá? os 5 a 10% dele, né? Eu nem sei 10% que é diferente é o Iast.

Até o Zyper funciona igual, né, ao ao ao DNF. Então o a a a ele tá mais para um head do que para um Diferente. E tem também E também, né? Igual aqui falou, ó. Já tô aqui. Existe também o journal. Que que é o journal? O journal é o log criado pelo sistema D. ou se estender que muita gente não gosta por causa disso, ele tem mania de se meter em vários locais, inclusive se metendo em fazer log. Já existem excelentes servidores de Logas ferramentas correspondentes, como né, o Apach consegue falar, o LD consegue

falar, o Samba consegue falar e tem alguém se metendo nisso. Essa questão do sislog se meter em outras funções que não são manter o início e funcionamento da máquina também deixa muita gente irritado, muita gente não gosta. Mas o o o sistema também, né, do sistema D também tem seus logs que ele faz em binário. E aí você pode Ler através do Journal CTL, tá? Mas eu vi isso aqui lá. Você vai ver basicamente essa mesma informação dentro lá do sislog ou dependendo do out. Log, tá? Aí tem que subir no page já porque é

coisa para caramba. Mas eu eu comandei o X, né, para ele pegar tudo até o final. X para de de de de para, né, de coisar lá. tirado do binário, né? Vou botar em texto aqui. Então, eu tenho o log do Natis, Aquilo que eu tava vendo lá, o log do do Fel. Então, basicamente ele ainda não traz uma grande diferença em relação ao ao que um um RClog faz, ao que um Cislog N faz. Então, particularmente, ele é alguém a mais na máquina, tá? Mais etc, system journal. E aí você tem aqui a opção,

eu aqui limito os logs desse cara ao máximo 300 meg, tá? Porque senão esse maluco Cresce desmensuradamente, é um problema. Então você tem opções aqui. Então tudo ele ele igual os arquivos normais do sislog, né? você tem o o a sessão e as variáveis que eu quero, se eu quero comprimog, se eu quero eh eh fazer separado por o ID ou não, qual é o tempo, isso aqui é o padrão, tá? Valores padrão dele. Então eu posso descomentar e alterar ali, né, o intervalo das sessões ali, rate limit, o o max files, a quantidade master

de arquivos que ele Pode manter, tá? o nível que ele vai manter, qual se ele vai estar associado a algum terminal, né, algum TTY para fazer jogar as mensagens ali, qual é o nível máximo, qual o nível mínimo de trabalhar dentro do console e tal. Então assim, eu não acho ele ainda capaz de substituir um Slog, mas como você tem que se estender, você vai vir com ele, tá? para ler. Geralmente ele joga tudo que o Sustender faz, joga no Journal CTL, mas eu também Encontrarei essas informações no CIS log, não, no Messengers, tá? Então

não é assim, não é nada de ó o novo e vai vir e tal, mas você vai ver que a estrutura é quase a mesma. Ele bota o nome do em minúsculo. Varlog slog. Aqui ele bota em maiúsculo em inglês e o Sislog fez a tradução do nome para português. Isso vai matar um monte de ferramenta. Geralmente no mundo vai ter a PR, né? April tal. Então, ferramentas Vão ter que ser todas readaptadas para ler logs até script. Então, particularmente, eu não eu não uso e o o journal CTL, não, tá? Eu uso o Sislog

e o Sislog N. 999% é Rislog, tá? Na verdade, 99% é Rislog. Então, pessoal, espero que eu tenha conseguido mostrar para vocês a importância dos arquivos de log. Tá? E que não existe essa questão de delegar tudo a ferramentas. Ah, mas eu uso o Kibana LK, o Azul e alguns Momentos você vai ser obrigado a parar e olhar pro texto, tá? E inclusive algumas dicas de problemas, de erros, você só vai encontrar ali, a ferramenta não vai conseguir interpretar e aí você vai conseguir, ó, relacionar. Às vezes a ferramenta vai te trazer 95% do de

tudo que você precisa, mas você ainda vai ter que extrair aquele 5%, você tem que saber ler. Então, de vez em quando você para, se acostuma, começa a olhar, começa a ver Os logs, começa a olhar os erros. Poxa, isso aqui tá funcionando mal, isso aqui tá dando erro, vou olhar os slog, vou olhar o dem, vou olhar não sei o quê. Você vai começar a se ambientar nos logs, a se sentir confortável nele. Gente, existe vaga de analista de log. Eu tenho, eu tive alunos, ele já se formou, né? Eu tive aluno que que

ele ganhou promoção por saber lerlog, tá? Trabalhava aqui no Rio na na na globo.com, ganhou promoção para saber Lerlog. Para você ver, então ele já foi para analista de de porque ele tinha que ter os dados que sair extraíam. Ele tinha que entender para como vai colocar para lá o portal, como vai mexer para cá o acesso, como vai trocar o servidor de segurança, né, o a porta. Ele extraía do log. Por saber ler logo, ele ganhou logo uma promoção. Então assim, é uma parte extremamente importante que não vai ser Só substituída. Perguntaram sobre a

se você treinar IA para ler teu log, ela vai te ajudar bastante, mas ela não vai fazer tudo. Não vai fazer tudo. E aí é preciso que você tenha essa essa essa essa maloquícia humana de olhar para duas coisas e conseguir ligar, inclusive de ler toda aquela tradou até a hora que o e-mail foi posto na caixa de de entrada da pessoa. É mais humano do que máquina. Então assim, espero que vocês tenham Visto isso, entendido essa importância, tá? Eu sempre vou vou vou dar dar eh eh ao log meus servidores sempre, porque com eles

eu resolvo o problema. Vou lá, volto aqui uma coisa que aconteceu lá lá na pré-história do meu início aqui com Linux 2006 por aí, onde a pessoa reclamou: "Não vou só a história foi essa, não vou pagar vocês." A empresa que eu tava na época fazendo Serviço lá, eu não vou pagar vocês porque eu não recebo mais e-mail do meu pagador. Era um um instituto aqui na UFRJ, um instituto de matemática da UFRJ que recebia dinheiro da Petrobras para as pesquisas. E a Petro e não conseguia receber o e-mail da Petrobras que ela mandava, não

conseguia receber para receber o pagamento. Falei: "Não, não vou pagar vocês que o servidor de meio de vocês não é merda". Falei: "Você recebe todo Mundo, recebe todo mundo, menos dessa pessoa, menos dessa pessoa." E aí comi log, comi e bebi log, peguei todos os logs, peguei um mês de log e montei um documento de todos os e-mails enviados para aquela pessoa e recebido até o momento que a pessoa trocou um caractere na no e-mail. Aí eu cheguei para ela assim, vamos fazer, manda e-mail aqui na minha frente, eu tinha impresso tudo, escrito, todos os

detalhes, manda e-mail. A pessoa mandou Quando escreveu, eu falei: "Tá errado, ela tá errado." Você botou um caracter, o nome do e-mail era esse. "Não sei por que agora você tá colocando um caractere que não existe. Não fui gentil, não fui." Falei, não sei porque você não tá colocando um caracterí que não existe. É por isso você não tá recebendo e-mail. Você tá mandando para uma pessoa que não existe. Manda para esse aqui igual se você mandava no dia tal tal tal tal tal tal tal tal tal tal tal tal tal tal tal Tal tal

tal tal tal tal tal tal tal tal. Aí, aí 20 minutos depois, ah, tem um tempo que não consigo falar com você. Log, porque não era erro da empresa, não é nenhum problema nosso. É impossível pra gente escrever mandar corrigir. Ah, se vier escrito tal, escreve tal. Não tem como a gente prever como a pessoa vai errar um e-mail de um de uma pessoa que tá num domínio fora da empresa, mas com logo eu consegui provar, né, com uma Certa satisfação pessoal que a pessoa tava escrevendo errada. Então pessoal, obrigadão aí pela participação. Quem tá

interessado nas novas turmas da formação, já vai no meu site wagnerfonseca.com.br, já se inscreve lá. você tá interessado em crescimento, alavancar a carreira, é a oportunidade para você entrar na formação e já crescer, já já se diferenciar como profissional, tá? E não esquece, né? Se quiser mandar, tiver Alguma dúvida, quiser falar comigo nas redes sociais, pode me achar lá no Instagram, @wagnerfonseca.com.br. Valeu, pessoal. Obrigadão. Vejo vocês aí. Até a próxima. Um abraço.