RHEL故障诊断4 - 根据 Kdump 转储文件分析内核崩溃原因

最新推荐文章于 2025-07-07 11:39:17 发布
原创 最新推荐文章于 2025-07-07 11:39:17 发布 · 929 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维

OpenShift / RHEL / DevSecOps 汇总目录
说明:本文针对 Linux 的版本为 RHEL 8。

文章目录

kdump 是一种提供崩溃转储机制的服务,当系统出现崩溃后 kdump 可生 vmcore 转储文件。通过使用 crash 工具可分析 vmcore 文件中的内容以找到系统崩溃原因。

内核崩溃生成的文件

系统崩溃后,kdump 服务会在转储文件(vmcore) 中捕获内核内存,并生成额外的诊断文件,以帮助故障排除和事后分析。

kdump 生成的文件主要有:

  • vmcore
  • vmcore-dmesg.txt
  • kexec-dmesg.log - 包含了使用 kexec 功能加载新内核过程以及新内核启动时的详细信息。

vmcore 文件

vmcore 是系统崩溃时的内核转储文件,它包含了以下各种数据。由于其大小通常与系统物理内存大小相关,因此文件可能会非常大。

  • 物理内存内容:系统崩溃时的所有物理内存数据。
  • 进程列表:崩溃时所有进程的信息。
  • CPU寄存器状态:
  • 设备状态:硬件设备的寄存器和状态信息。
  • 缓存数据:文件系统缓存中的数据,可能包含未写入磁盘的文件内容。
  • 网络连接:网络套接字和连接状态、网络协议栈的缓冲区内容。
  • 内核模块:已加载内核模块的信息和状态。
  • 虚拟内存映射:进程的虚拟内存布局。
  • 崩溃信息:导致崩溃的错误类型和位置。

vmcore-dmesg.txt 文件

vmcore-dmesg.txt 文件记录了内核消息缓冲区中所包含的和系统崩溃相关的重要信息。当系统发生内核崩溃时,该文件是分析崩溃原因的重要依据。

默认情况 vmcore-dmesg.txt 位于 /var/crash/ 目录中。文件包含的信息有以下几类:

  • 崩溃前的内核消息:包括硬件设备的异常、内核模块的错误、系统调用的异常等信息,这些信息可以帮助定位导致崩溃的根本原因。
  • 系统状态信息:例如 CPU 使用率、内存使用情况、设备驱动的状态等,这些信息可以帮助了解系统在崩溃前的运行状态。
  • 错误堆栈信息:如果内核崩溃是由于代码错误导致的,vmcore-dmesg.txt 文件可能包含错误堆栈信息,指示出错的代码位置和调用路径。

分析内核崩溃原因

使用 Kernel Oops Analyzer 工具分析

  1. 打开 https://access.redhat.com/labs/kerneloopsanalyzer/ 页面。
  2. 在 Option 1: File Input 中提供 vmcore-dmesg.txt 文件,然后点击 Detect。
  3. 在 Detected Kernel Opps 区域可以看到分析出的 Kernel 相关错误原因。例如下图,提示故障是由 RHEL 8.4 的 4.18.0-305.el8.x86_64 内核引起的,并且可以根据解决方案的提示解决该问题。
    在这里插入图片描述

用 crash 命令分析 vmcore 文件

crash、vmcore 和 vmlinux 的关系

在使用 crash 命令分析 vmcore 文件时需要用到 vmlinux,这主要与 vmlinux 文件的特性以及 crash 工具分析崩溃信息的原理有关。

vmcore 文件是内核崩溃时系统内存的快照,其中包含了大量的内存地址信息。但这些地址本身对于人类来说是难以理解的,需要将其转换为有意义的代码位置和变量名。

vmlinux 是未经压缩处理的内核可执行文件。vmlinux 包含了完整的内核符号表和调试信息,因为它们可以将内存中的地址映射到具体的内核代码位置、函数名和变量名,所以这些信息对于分析内核崩溃至关重要。

crash 工具利用 vmlinux 中的调试符号,将 vmcore 文件中的内存地址解析为具体的函数名、变量名和源代码行号,从而帮助分析人员快速定位问题所在。

安装 crash 工具及其用到的环境

需要注意的是在使用 crash 命令分析 vmcore 文件的时候,分析环境必须有与生成 vmcore 文件相同 kernel 版本的 vmlinux。

  1. 先安装 crash 工具。
$ yum install crash
  1. 再根据 https://access.redhat.com/solutions/9907 的说明为 RHEL 8 启用将用到的 repo。
$ subscription-manager repos --enable=rhel-8-for-$(uname -m)-baseos-debug-rpms --enable=rhel-8-for-$(uname -m)-appstream-debug-rpms
  1. 然后安装特定版本的 kernel-debuginfo 相关模块,模块将安装到 $(uname -r) 目录下。
$ yum install kernel-debuginfo-$(uname -r) kernel-debuginfo-common-$(uname -m)-$(uname -r)
$ ls /usr/lib/debug/lib/modules/$(uname -r)

分析 vmcore 文件相关命令

  1. 运行 crash 工具,分析 vmcore 文件。注意:以下命令使用的 vmcore 文件是与 “使用 Kernel Oops Analyzer 工具分析” 章节中使用的 vmcore-dmesg.txt 文件对应。另外命令执行输出提示 PID 为 4098504 的进程导致了系统 PANIC。
$ crash /usr/lib/debug/lib/modules/$(uname -r)/vmlinux vmcore
crash 8.0.4-2.el8
Copyright (C) 2002-2022  Red Hat, Inc.
Copyright (C) 2004, 2005, 2006, 2010  IBM Corporation
Copyright (C) 1999-2006  Hewlett-Packard Co
Copyright (C) 2005, 2006, 2011, 2012  Fujitsu Limited
Copyright (C) 2006, 2007  VA Linux Systems Japan K.K.
Copyright (C) 2005, 2011, 2020-2022  NEC Corporation
Copyright (C) 1999, 2002, 2007  Silicon Graphics, Inc.
Copyright (C) 1999, 2000, 2001, 2002  Mission Critical Linux, Inc.
Copyright (C) 2015, 2021  VMware, Inc.
This program is free software, covered by the GNU General Public License,
and you are welcome to change it and/or distribute copies of it under
certain conditions.  Enter "help copying" to see the conditions.
This program has absolutely no warranty.  Enter "help warranty" for details.
 
GNU gdb (GDB) 10.2
Copyright (C) 2021 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Type "show copying" and "show warranty" for details.
This GDB was configured as "x86_64-pc-linux-gnu".
Type "show configuration" for configuration details.
Find the GDB manual and other documentation resources online at:
    <http://www.gnu.org/software/gdb/documentation/>.
 
For help, type "help".
Type "apropos word" to search for commands related to "word"...
 
      KERNEL: /usr/lib/debug/lib/modules/4.18.0-305.el8.x86_64/vmlinux
    DUMPFILE: vmcore  [PARTIAL DUMP]
        CPUS: 16
        DATE: Wed Jan 15 09:43:01 CST 2025
      UPTIME: 77 days, 11:00:23
LOAD AVERAGE: 1.08, 1.04, 1.05
       TASKS: 1136
    NODENAME: xxx-xxxx-xxxx
     RELEASE: 4.18.0-305.el8.x86_64
     VERSION: #1 SMP Thu Apr 29 08:54:30 EDT 2021
     MACHINE: x86_64  (2793 Mhz)
      MEMORY: 32 GB
       PANIC: "kernel BUG at lib/list_debug.c:50!"
         PID: 4098504
     COMMAND: "kworker/13:2"
        TASK: ffff9f40427d9e40  [THREAD_INFO: ffff9f40427d9e40]
         CPU: 13
       STATE: TASK_RUNNING (PANIC)
 
crash>
  1. 使用 help 子命令累出其他所有子命令,使用它们可对 vmcore 中包含的各类信息进行分析。
crash> help
 
*              files          mod            sbitmapq       union
alias          foreach        mount          search         vm
ascii          fuser          net            set            vtop
bpf            gdb            p              sig            waitq
bt             help           ps             struct         whatis
btop           ipcs           pte            swap           wr
dev            irq            ptob           sym            q
dis            kmem           ptov           sys
eval           list           rd             task
exit           log            repeat         timer
extend         mach           runq           tree
  1. 在以上子命令中常用的有:
子命令说明
log内核消息缓存,即 vmcore-dmesg.txt 中的内容
bt内核栈跟踪
files打开的文件信息
mount挂载信息
ps进程信息
vm虚拟内存信息
net网络信息

例如通过 bt 命令可以看到运行在 CPU:13 的进程 PID: 4098504 在执行 __list_del_entry_valid.cold.1 时出现了 invalid_op 提示。

crash> bt
PID: 4098504  TASK: ffff9f40427d9e40  CPU: 13   COMMAND: "kworker/13:2"
 #0 [ffffafda13117bf0] machine_kexec at ffffffffb7c6156e
 #1 [ffffafda13117c48] __crash_kexec at ffffffffb7d8f99d
 #2 [ffffafda13117d10] crash_kexec at ffffffffb7d9088d
 #3 [ffffafda13117d28] oops_end at ffffffffb7c2434d
 #4 [ffffafda13117d48] do_trap at ffffffffb7c20b13
 #5 [ffffafda13117d90] do_invalid_op at ffffffffb7c21476
 #6 [ffffafda13117db0] invalid_op at ffffffffb8600d64
    [exception RIP: __list_del_entry_valid.cold.1+69]
    RIP: ffffffffb8091209  RSP: ffffafda13117e68  RFLAGS: 00010246
    RAX: 000000000000004e  RBX: ffff9f415c9fb090  RCX: 0000000000000000
    RDX: 0000000000000000  RSI: ffff9f41de1567c8  RDI: ffff9f41de1567c8
    RBP: ffffffffb9426040   R8: 00000000000006d4   R9: 000000000000005f
    R10: 3531346639666666  R11: 66202c6e6f697470  R12: ffff9f415c9fb000
    R13: ffff9f3f775ed000  R14: ffff9f3fea1b0fc0  R15: ffff9f415c9fb098
    ORIG_RAX: ffffffffffffffff  CS: 0010  SS: 0018
 #7 [ffffafda13117e60] __list_del_entry_valid.cold.1 at ffffffffb8091209
 #8 [ffffafda13117e68] css_release_work_fn at ffffffffb7d96b0f
 #9 [ffffafda13117e98] process_one_work at ffffffffb7cfe397
#10 [ffffafda13117ed8] worker_thread at ffffffffb7cfea60
#11 [ffffafda13117f10] kthread at ffffffffb7d04406
#12 [ffffafda13117f50] ret_from_fork at ffffffffb860023f

参考

https://access.redhat.com/labs/kerneloopsanalyzer/
https://access.redhat.com/solutions/9907
https://access.redhat.com/solutions/2121
https://access.redhat.com/solutions/6038
https://docs.redhat.com/zh-cn/documentation/red_hat_enterprise_linux/9/html/managing_monitoring_and_updating_the_kernel/files-produced-by-kdump-after-system-crash_configuring-kdump-on-the-command-line

dawnsky.liu
关注
分析kdump(vmcore)
thinker
08-25 1200
通过虚拟机装centos6.5 下载镜像https://vault.centos.org/6.5/isos/x86_64/CentOS-6.5-x86_64-bin-DVD1.iso 安装完虚拟机之后,更新yum报错。启动失败,由于调试机器的内核版本与产生coredump的机器的内核版本不一致,导致crash启动失败,根据vmcore-dmesg.txt文件可知内核版本2.6.32-431.el6.x86_64根据。解决方案更新/etc/yum.repos.d/CentOS-Base.repo内容。...
Linux kdump Crash故障定位分析详解
悦分享
08-16 1808
kdump是2.6.16之后,内核引入的一种新的内核崩溃现场信息收集工具。当一个内核崩溃后(我们称之为panic),内核会使用kexec(类似于进程的exec,把当前内核换掉)进入到一个干净的备份内核(只使用少量内存,由第一个内核预留放在一块内存中),干净的内核启动后,仍旧是用户态服务初始化,这时会使用kdump工具会从内核读出需要的信息,再写到磁盘上的一个vmcore文件中。之后就可以使用crash工具来分析vmcore文件了(就像gdb分析用户态崩溃现场core文件一样)。
Linux 系统内核崩溃分析处理简介
宋宝华
03-20 1万+
作者:arstercz来源(阅读原文可直达):https://blog.arstercz.com/brief-intro-to-linux-kernel...
linux内核删除list_del()删除元素…
刘松华-林散
05-15 8682
关于删除元素的不安全性 为什么说调用list_del()删除元素有安全隐患?具体看源代码: static inline void __list_del(struct list_head * prev, struct list_head * next) { next->prev = prev; prev->next = next; } static inline void list_del(st
crash分析vmcore文件出现的linux系统异常
最新发布
运维老生常谈
07-07 1158
Linux系统内核发生崩溃的时候,可以通过 KEXEC+KDUMP 等方式收集内核崩溃之前的内存,生成一个转储文件vmcore内核开发者通过分析vmcore文件就可以诊断出内核崩溃原因,从而进行操作系统的代码改进。那么Crash就是一个被广泛使用的内核崩溃转储文件分析工具.
服务宕机问题排查思路
Yonx
08-27 4332
事件背景 2020年9月25日18点18分,收到告警,大数据02节点宕机,发现此问题出现过3次,分别在生成大数据服务器的2个节点上发生。这次决心要查处问题。 服务是CDH节点,就是大数据那一套东西 系统版本:CentOS Linux release 7.3.1611 内核版本:3.10.0-514.el7.x86_64 服务器厂商:Dell R730 故障分析 服务器宕机主要有3条分析思路。 是否内存或者CPU爆满,导致服务器OOM,导致服务器重启 是否硬件导致重启 是否触发系统BUG.
kdump定位
热门推荐
墨染锦年的博客
03-30 1万+
一、准备工具 1、crash工具,可直接用yum下载 2、内核调试信息,编译内核时打开调试(有些标准内核版本可在网上下载调试信息) menuconfig中内核调试信息开关路径: Kernel hacking -> Compile-time checks and compiler options 3、core文件 二、初识vmcore-dmesg vmcore-dmesg.txt会将内核cra...
【实际案例】服务器宕机情况分析及处理建议
银河麒麟操作系统的博客
08-07 1975
现象描述:生产环境arm V7.6物理机在20244月7号08:49分钟左右宕机(自动重启恢复),生成vmcore文件。处理建议:针对该问题建议应用方排查下相应java进程是否存在对大量小文件的目录进行遍历操作,以及根据实际需求看是否考虑关闭kernel.softlockup_panic。
linux内核崩溃转储,linux内核调试转储工具kdump crash
weixin_39595164的博客
05-02 565
$ crash vmlinux vmcorecrash> btcrash> dis -l ffffffff80081000crash> gdb x/8ub ffffffff90091000......如果是未完成文件可以尝试以最小方式调试$ crash --minimal vmlinux vmcorecrash> logcrash_H_args_xbt> mod -S...
system-config-kdump-2.0.13-21.el7.centos.x64-86.rpm.tar.gz
03-03
内核崩溃转储是一种诊断工具,用于在系统内核崩溃时捕获内存的快照,以便后续分析系统崩溃原因。版本号2.0.13-21.el7表示这是2.0.13版本的第21次发行,针对的是企业版Linux 7(即CentOS 7)。 描述中提到,该...
rhel-kdump
11-23
RHEL(Red Hat Enterprise Linux)中的kdump是一种内核崩溃转储机制,用于在系统遇到内核错误或蓝屏时收集内存状态,便于后期分析故障原因kdumpLinux系统管理员的重要工具,能够帮助诊断和修复复杂的系统问题。 ...
linux服务器主机异常重启故障分析报告
a568804062的博客
03-15 1万+
 2021年3月12日18时左右,收到客户通知,业务主机dpm1,在下午02:38:19发生重启,目前业务已经恢复,定位故障原因 服务器宕机主要有3条分析思路。 是否内存或者CPU爆满,导致服务器OOM,导致服务器重启 是否硬件导致重启 是否触发系统BUG 本着这3条思路,我们接下来分头排查。 观察系统日志(/var/log/messages、/var/log/dmesg) 登录管理卡地址,查看是否有硬件告警,并收集硬件信息,报告厂商协助排查 检查是否是系统内核bug导致,所以得看kdump在系统崩溃保留
【问题实操】银河麒麟高级服务器操作系统实例,CPU软锁报错触发宕机
银河麒麟操作系统的博客
04-26 1792
【问题实操】银河麒麟高级服务器操作系统实例,CPU软锁报错触发宕机
【问题实操】银河高级服务器操作系统实例分享,三台服务器宕机解决方式
银河麒麟操作系统的博客
05-16 1457
【问题实操】银河高级服务器操作系统实例分享,三台服务器宕机解决方式。
dmesg时间转换工具
wzb56的资料库
02-02 1万+
最近在排查一个core问题,对dmesg的时间戳,做了一个转化工具:ts_dmesg.sh 借助awk 和shell实现: #!/bin/sh uptime_ts=`cat /proc/uptime | awk '{ print $1}'` #echo $uptime_ts dmesg | awk -v uptime_ts=$uptime_ts 'BEGIN { now_ts = s
【银河麒麟操作系统运维】某平台多台虚拟机异常重启分析及处理
银河麒麟操作系统的博客
12-03 1353
继续分析vmcore中的堆栈信息,将其梳理如下所示。综合分析,多台机器异常重启的时间点基本一致,这降低了硬件问题的可能性,也不太可能是内核自身的问题。针对该问题我们核对了以往的问题工单,发现在另一个项目上出现过同样的问题,该项目上存在虚拟机大规模在凌晨4:30左右异常重启的问题,与本次虚拟机大规模异常重启时间一致。不同机器在同一时间同时触发异常重启,且在执行不同的内核基础函数时遇到了同一个异常的内存地址,这表明问题原因基本不在系统本身而是有第三方应用、模块等存在如堆栈溢出等异常改写了正常的内存数据。
linux 内核部分崩溃,Linux 系统内核崩溃分析处理简介
weixin_30548481的博客
05-09 840
Written byarstercz-2019-11-12Linux 系统内核崩溃分析处理简介背景说明目前绝大多数的 Linux 发行版都会将 kdump.service 服务默认开启, 以方便在内核崩溃的时候, 可以通过 kdump 服务提供的 kexec 机制快速的启用保留在内存中的第二个内核来收集并转储内核崩溃的日志信息(vmcore文件), 这种机制需要服务器硬件特性的支持, 不过现今...
kdump安装及调试策略(详细)
lindorx的博客
01-09 2143
分析方法一般是复现同时查看日志,在内核启动参数中加入“console=ttyS0,115200 loglevel=9”,其中ttyS0为串口设备,可以修改为确定能使用的串口,最好使用主板上的串口,不要使用pcie转接的串口,这个需要驱动模块支持,可能会在进入kdump以后没有输出。如果类似如下的日志,特别是“No memory reserved for crash kernel”,说明crashkernel设置的不对,可以尝试调整大小和格式,也可能是内核不支持某些上述格式。2.1kdump服务启动失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值