démon systémového protokolu je zodpovědný za protokolování systémových zpráv generovaných aplikacemi nebo jádrem. Démon systémového protokolu také podporuje vzdálené protokolování. Zprávy jsou rozlišeny podle zařízení a priority. V zásadě platí, že záznamy zpracovány pomocí syslog jsou k dispozici v souboru /var/log/ adresář na Linuxu :
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
kde některé protokoly jsou dumpingové pod podadresáři, jako jsou poháry, samba, httpd. Mezi protokoly pod /var/log je nejběžnější protokol /var/log/messages, protože se zde konají protokoly systému jádra / jádra. Moduly jádra se tam také obvykle skládají. Takže pro diagnostiku problému / monitorování /var / log / zprávy je primární soubor protokolu, který je třeba prozkoumat.
system log daemon/služby, a to konfiguračním souboru se liší v závislosti na verzi Linux používá tedy:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog je nový protokolování daemon začíná RHEL6 konkurovat staré syslog-ng démona. Některé z výhod rsyslog daemon poskytuje přes syslog-ng jsou:
1. Spolehlivá síť
– Rsyslog používá TCP místo UDP, což je spolehlivější. TCP používá možnosti potvrzení a opětovného přenosu.
– S Rsyslog daemon můžete určit více cílových hostitelů / souborů pro doručování zpráv, pokud rsyslogd není schopen doručit zprávu do aprtikulární cíle.
2. Precision
– je možné filtrovat zprávy na kterékoli části zprávy protokolu, spíše než prioritu zprávy a původní zařízení.
– Podpora přesných časových razítek pro protokolování zpráv, které démon syslog.
3. Další funkce
– šifrování TLS
– možnost přihlášení do databází SQL.
rsyslog.conf
konfigurační soubor – / etc / rsyslog.conf pro démona rsyslogd se používá ke zpracování všech zpráv. Konfigurační soubor v podstatě poskytuje příkazy pravidel, které zase poskytují 2 věci:
– jaké zprávy se mají shodovat.
– volič se skládá z objektu a priority oddělené tečkou (.) (např. mail.info)
2. akce
– co dělat s odpovídající zprávy
– obvykle cíl log zprávu (soubor na lokálním počítači nebo vzdáleném počítači)
Selektory a akce
Selektory jsou 2 věci, potřeby a priority. Určují, které zprávy se mají shodovat. Pole akce určuje, jaká akce se má použít na odpovídající zprávu. Například :
kern.debug /var/log/kernlog
– zprávy s s zařízení jádra a prioritou debug jsou zaznamenány do souboru /var/log/kernlog.
– prioritní příkazy jsou v selektorech hierarchické. Rsyslog odpovídá všem zprávám se zadanou prioritou a vyšší. Takže všechny zprávy z jádra s prioritou ladění a vyšší jsou zaznamenány. Ladění je NEJNIŽŠÍ prioritou všechny zprávy s facility kern jsou uzavřeno.
– dalším způsobem, jak toho dosáhnout, je použít hvězdičku (*). Například:
kern.* /var/log/kernlog
– na jednom řádku odděleném středníky lze zadat více selektorů. To je užitečné, když je třeba použít stejnou akci na více zpráv.
– když je soubor uveden v poli akce, odpovídající zprávy jsou zapsány do souboru.
– mohou existovat další zařízení, jako je FIFO, terminál atd.
– pokud je v poli akce uvedeno uživatelské jméno, jsou přiřazené zprávy vytištěny uživatelům všech terminálů, pokud jsou přihlášeni.
– ( * ) v poli akce určuje
Facilities
zařízení se používá k určení, který typ programu nebo aplikace generuje zprávu. To umožňuje démonovi syslog zpracovávat různé zdroje odlišně. Níže uvedená tabulka uvádí standardní zařízení a jejich popis :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET zprávy subsystému |
| syslog | zprávy generované interně systém log daemon |
| uživatel | obecné uživatelské úrovni zprávy |
| uucp | UUCP subsystému |
Priorita
priorita zprávy označuje význam, který zpráva. Níže uvedená tabulka uvádí standardní priority a jejich významy :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
Log soubory rostou pravidelně přesčas, a proto je třeba je pravidelně ořezávat. Linux poskytuje nástroj pro poskytování této funkce bez zásahu uživatele. Program logrotate lze použít k automatizaci rotace souboru protokolu. Základní konfigurace logrotate se provádí v konfiguračním souboru / etc / logrotate.conf. V konfiguračním souboru můžeme nastavit možnosti, jako například-jak často se protokoly mají otáčet a kolik starých protokolů se má uchovávat.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
podle výše uvedeného konfiguračního souboru logrotate se protokoly střídají každý týden (přejmenování existujícího protokolu na název souboru.pořadí čísel):
minsize 1M-logrotate spustí a ořízne soubory zpráv, pokud je velikost souboru rovna nebo větší než 1 MB.
rotate 4-udržujte nejnovější 4 soubory při otáčení.
Vytvořit-Vytvořit nový soubor při otáčení s určeným oprávněním a vlastnictvím.
include-zahrňte zde uvedené soubory pro nastavení rotace protokolu specifické pro démona.
– – démon logrotate čte hlavně veškerou konfiguraci ze souboru / etc / logrotate.conf a pak obsahuje specifické konfigurační soubory démona z /etc / logrotate.d / adresář.
– démon logrotate spolu s rotací a odstraněním starých protokolů umožňuje kompresi souborů protokolu.
– démon běží denně z /etc / cron.denní / logrotate.
Logwatch
– RHEL systémy jsou také dodávány s logwatch balíčky.
– Logwatch se používá k analýze protokolů k identifikaci zajímavých zpráv.
– Logwatch lze nakonfigurován tak, aby analyzovat logfiles z populárních služeb a správce e-mailu výsledky.
– může být nakonfigurován na hodinové nebo noční bázi pro jakoukoli podezřelou aktivitu. Ve výchozím nastavení v systému RHEL, je spuštěn na noční bázi a zpráva je zaslána uživateli root.
