El demonio de registro del sistema es responsable de registrar los mensajes del sistema generados por las aplicaciones o el núcleo. El demonio de registro del sistema también admite el registro remoto. Los mensajes se diferencian por facilidad y prioridad. En principio, los registros manejados por syslog están disponibles en el directorio/var/ log/en el sistema Linux:
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
donde algunos de los registros se descargan en un subdirectorio como cups, samba, httpd. Entre los registros bajo /var/log, el /var/log/messages es el más común, ya que los registros del sistema núcleo / núcleo se guardan allí. Los módulos del núcleo generalmente descargan allí también. Por lo tanto, para el diagnóstico / monitoreo de problemas, el archivo de registro principal a examinar es /var/log/messages.
El demonio/servicio de registro del sistema y su archivo de configuración difieren según la versión de Linux utilizada, por ejemplo:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog es el nuevo demonio de registro que inicia RHEL6 para competir con el antiguo demonio syslog-ng. Algunos de los beneficios que proporciona el demonio rsyslog sobre syslog-ng son :
1. Redes fiables: Rsyslog utiliza TCP en lugar de UDP, que es más fiable. TCP utiliza las capacidades de reconocimiento y retransmisión.
– con el demonio Rsyslog puede especificar varios hosts/archivos de destino para la entrega de mensajes si rsyslogd no puede entregar un mensaje al destino aprticular.
2. Precisión
– es posible filtrar mensajes en cualquier parte del mensaje de registro en lugar de la prioridad del mensaje y la facilidad original.
– soporte para marcas de tiempo precisas para registrar mensajes que el demonio syslog.
3. Otras características
– Cifrado TLS
– capacidad de registro en bases de datos SQL.
rsyslog.conf
El archivo de configuración- / etc / rsyslog.conf para el demonio rsyslogd se usa para manejar todos los mensajes. El archivo de configuración básicamente proporciona instrucciones de reglas que a su vez proporcionan 2 cosas :
– qué mensajes coincidir.
– el selector consiste en una instalación y una prioridad separadas por un punto (.) (p.ej. mail.info)
2. acciones
– qué hacer con los mensajes coincidentes
– por lo general, un destino para registrar el mensaje (archivo en una máquina local o un host remoto)
Los selectores y acciones
Los selectores se componen de 2 cosas, instalaciones y prioridades. Especifican qué mensajes deben coincidir. El campo acción especifica qué acción aplicar al mensaje coincidente. Por ejemplo:
kern.debug /var/log/kernlog
– Los mensajes con una instalación de depuración de kernel y prioridad se registran en el archivo /var/log/kernlog.
– Las instrucciones de prioridad son jerárquicas en los selectores. Rsyslog coincide con todos los mensajes con prioridad especificada y superior. Por lo tanto, todos los mensajes del núcleo con depuración de prioridad y superiores se registran. Al ser la depuración la prioridad más baja, todos los mensajes con facility kern coinciden.
– Otra forma de hacer esto es usar el asterisco (*). Por ejemplo:
kern.* /var/log/kernlog
– se pueden especificar varios selectores en una sola línea separados por punto y coma. Esto es útil cuando se necesita aplicar la misma acción a varios mensajes.
– cuando un archivo aparece en el campo de acción, los mensajes coincidentes se escriben en el archivo.
– Puede haber otros dispositivos como FIFO, terminal, etc. para escribir los mensajes.
– Si un nombre de usuario aparece en el campo de acción, los mensajes coincidentes se imprimen a los usuarios de todos los terminales si están conectados.
– ( * ) en el campo de acción especifica
Instalaciones
La instalación se utiliza para especificar qué tipo de programa o aplicación está generando el mensaje. Por lo tanto, permite que el demonio syslog maneje diferentes fuentes de manera diferente. La siguiente tabla enumera las instalaciones estándar y su descripción :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET subsistema de noticias |
| syslog | mensajes generados internamente por el demonio de registro del sistema |
| usuario | mensajes genéricos a nivel de usuario |
| uucp | subsistema UUCP |
Prioridad
La prioridad de un mensaje significa la importancia de ese mensaje. La siguiente tabla enumera las prioridades estándar y sus significados :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
Los archivos de registro crecen regularmente con el tiempo y, por lo tanto, deben recortarse regularmente. Linux proporciona una utilidad para proporcionar esta funcionalidad sin la intervención del usuario. El programa logrotate se puede utilizar para automatizar la rotación de archivos de registro. La configuración básica de logrotate se realiza en el archivo de configuración/etc / logrotate.conf. En el archivo de configuración podemos establecer opciones como, por ejemplo, con qué frecuencia se deben rotar los registros y cuántos registros antiguos se deben guardar.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
De acuerdo con el archivo de configuración de logrotate anterior, los registros se giran cada semana (renombrando el registro existente a filename.orden de números):
minsize 1M-logrotate ejecuta y recorta los archivos de mensajes si el tamaño del archivo es igual o superior a 1 MB.rotar 4: mantenga los 4 archivos más recientes mientras gira.
create: crea un nuevo archivo mientras rotas con el permiso y la propiedad especificados.
include: incluya los archivos mencionados aquí para la configuración de rotación de registros específica del demonio.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– El demonio logrotate lee principalmente toda la configuración del archivo / etc / logrotate.conf y luego incluye archivos de configuración específicos del demonio de/etc / logrotate.d/ directorio.
– El demonio logrotate, junto con la rotación y eliminación de registros antiguos, permite la compresión de archivos de registro.
– El demonio se ejecuta diariamente desde/etc / cron.diario/logrotate.
Logwatch
– Los sistemas RHEL también se envían con paquetes logwatch.
– Logwatch se utiliza para analizar los registros para identificar cualquier mensaje interesante.
– Logwatch puede configurarse para analizar los archivos de registro de los servicios populares y enviar los resultados al administrador de correo electrónico.
– Se puede configurar cada hora o cada noche para cualquier actividad sospechosa. De forma predeterminada en un sistema RHEL, se ejecuta cada noche y el informe se envía por correo al usuario root.
