systemlogdæmonen er ansvarlig for at logge systemmeddelelser genereret af applikationer eller kerne. Systemlog-dæmonen understøtter også fjernlogning. Meddelelserne er differentieret efter facilitet og prioritet. I princippet er de logfiler, der håndteres af syslog, tilgængelige i/ var / log / – mappen på Linussystemet:
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
hvor nogle af logfilerne dumpes under en undermappe som cups, samba, httpd. Blandt logfilerne under /var/log er /var/log/messages den mest almindelige, da kerne – / kernesystemlogfilerne holdes der. Kernemodulerne dumper generelt også der. Så for problemdiagnose / overvågning er/var / log / messages den primære logfil, der skal undersøges.
Systemlog-dæmonen/ – tjenesten og dens konfigurationsfil varierer afhængigt af den anvendte version, dvs.:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog er den nye logging-dæmon, der starter RHEL6 for at konkurrere med den gamle syslog-ng-dæmon. Få af fordelene rsyslog daemon giver over syslog-ng er:
1. Pålidelig netværk
– Rsyslog bruger TCP i stedet for UDP, som er mere pålidelig. TCP bruger funktionerne bekræftelse og retransmission.
– med Rsyslog daemon kan du angive flere destination værter/filer til meddelelser levering, hvis rsyslogd ikke er i stand til at levere en besked til aprticular destination.
2. Precision
– det er muligt at filtrere meddelelser på en hvilken som helst del af logbeskeden i stedet for prioriteringen af meddelelsen og den oprindelige facilitet.
– støtte til præcise tidsstempler til at logge beskeder, at syslog dæmonen.
3. Andre funktioner
– TLS-kryptering
– mulighed for at logge på
rsyslog.conf
konfigurationsfilen – /etc / rsyslog.conf for rsyslogd dæmonen bruges til at håndtere alle meddelelser. Konfigurationsfilen indeholder grundlæggende regler udsagn, som igen giver 2 ting:
– hvilke meddelelser til at matche.
– selector består af en facilitet og prioritet adskilt af en prik (.) (f. eks. mail.info)
2. handlinger
– Hvad skal man gøre med matchede meddelelser
– normalt en destination til at logge meddelelsen (fil på lokal maskine eller en ekstern vært)
vælgere og handlinger
vælgere består af 2 ting faciliteter og prioriteter. De angiver, hvilke meddelelser der skal matche. Handlingsfeltet angiver, hvilken handling der skal anvendes på den matchede meddelelse. For eksempel:
kern.debug /var/log/kernlog
– meddelelserne med med en facilitet af kerne og prioritet debug er logget ind i filen /var/log/kernlog.
– prioriterede udsagn er hierarkiske i vælgere. Rsyslog matcher alle meddelelser med specificeret prioritet og højere. Så alle meddelelser fra kerne med priority debug og højere logges. Debug er den laveste prioritet alle meddelelser med facilitet kern matches.
– En anden måde at gøre dette på er at bruge asterisken (*). For eksempel:
kern.* /var/log/kernlog
– flere vælgere kan specificeres på en enkelt linje adskilt af semikoloner. Dette er nyttigt, når samme handling skal anvendes på flere meddelelser.
– når en fil er angivet i handlingsfeltet, skrives de matchede meddelelser ind i filen.
– der kan være andre enheder som FIFO, terminal osv.
– Hvis et brugernavn er angivet i handlingsfeltet, udskrives de matchede meddelelser til brugerne alle terminaler, hvis de er logget ind.
– ( * ) i handlingsfeltet specificeres
faciliteter
anlægget bruges til at specificere, hvilken type program eller applikation der genererer meddelelsen. Således gør det muligt for syslog-dæmonen at håndtere forskellige kilder forskelligt. Tabellen nedenfor viser standardfaciliteterne og deres beskrivelse :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET nyheder delsystem |
| syslog | meddelelser genereret internt af systemlogdæmonen |
| bruger | generiske meddelelser på brugerniveau |
| uucp | UUCP delsystem |
prioritet
en meddelelses prioritet betyder vigtigheden af denne meddelelse. Nedenstående tabel viser standardprioriteterne og deres betydning :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
logfiler vokser regelmæssigt overarbejde, og derfor skal de trimmes regelmæssigt. Det er et værktøj til at levere denne funktionalitet uden brugerintervention. Logrotate-programmet kan bruges til at automatisere logfilrotationen. Den grundlæggende logrotatkonfiguration udføres i konfigurationsfilen /etc/logrotate.conf. I konfigurationsfilen kan vi indstille indstillinger som – hvor ofte logfiler skal roteres, og hvor mange gamle logfiler der skal opbevares.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
i henhold til ovenstående logrotatkonfigurationsfil roteres logfilerne hver uge (omdøbning af den eksisterende log til filnavn.1m-logrotate kører og trimmer meddelelserne filer, hvis filstørrelsen er lig med eller større end 1 MB.
Roter 4-behold de seneste 4 filer, mens du roterer.
Opret-Opret ny fil, mens du roterer med specificeret tilladelse og ejerskab.
Inkluder-Inkluder de filer, der er nævnt her for de dæmonspecifikke logrotationsindstillinger.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– logrotatdæmonen læser hovedsageligt al konfiguration fra fil /etc/logrotate.conf og derefter omfatter dæmon specifikke konfigurationsfiler fra / etc / logrotate.d / vejviser.
– logrotatdæmonen sammen med rotation og fjernelse af gamle logfiler tillader komprimering af logfiler.
– dæmonen kører dagligt fra /etc/cron.dagligt / logrotat.
Logur
– RHEL-systemer leveres også med logurpakker.
– Logur bruges til at analysere logfilerne for at identificere eventuelle interessante meddelelser.
– Logur kan konfigureres til at analysere logfiler fra populære tjenester og e-mail administrator resultaterne.
– det kan konfigureres hver time eller nat for enhver mistænkelig aktivitet. Som standard i et RHEL-system køres det om natten, og rapporten sendes til root-bruger.
