system log daemon vastaa sovellusten tai ytimen tuottamien järjestelmäsanomien kirjaamisesta. Järjestelmälokitaustaprosessi tukee myös etälokausta. Viestit on eriytetty laitoksen ja prioriteetin mukaan. Periaatteessa syslogin käsittelemät lokit löytyvät/var/ log / – hakemistosta Linux-järjestelmästä:
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
, jossa osa lokeista dumpataan alihakemiston alle kuten cups, samba, httpd. /Var/log-kohdassa olevista lokeista /var/log/messages on yleisin, koska ytimen / ytimen järjestelmälokit pidetään siellä. Ytimen moduulit yleensä kaatuvat sielläkin. Niin, ongelma diagnoosi / seuranta / var / log / viestit on ensisijainen lokitiedosto tutkia.
järjestelmän lokideemoni/palvelu ja sen konfiguraatiotiedosto eroavat riippuen käytetystä Linuxin versiosta eli:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog on uusi lokideemi, joka aloittaa RHEL6: n kilpailemaan vanhan syslog-ng-demonin kanssa. Rsyslog daemon tarjoaa syslog-ng: hen nähden vain muutamia etuja:
1. Luotettava verkko
– Rsyslog käyttää TCP: tä UDP: n sijaan, joka on luotettavampi. TCP käyttää kuittaus-ja edelleenlähetysominaisuuksia.
– Rsyslog-palvelimella voit määrittää useita kohdeis-isäntiä/tiedostoja viestien toimittamista varten, jos rsyslogd ei pysty toimittamaan viestiä aprticular-kohteeseen.
2. Tarkkuus
– sanomia on mahdollista suodattaa lokiviestin mihin tahansa osaan sanoman Prioriteetin ja alkuperäisen toiminnon sijaan.
– tuki tarkoille aikaleimoille lokiviesteille, jotka syslog-taustaprosessi kirjasi.
3. Muita ominaisuuksia
– TLS-salaus
– kyky kirjautua SQL-tietokantoihin.
rsyslog.conf
asetustiedosto- / etc / rsyslog.conf rsyslogd-taustaprosessia käytetään kaikkien viestien käsittelyyn. Asetustiedostossa on periaatteessa sääntölausekkeet, jotka puolestaan antavat 2 asiaa:
– mitkä viestit täsmäävät.
– valitsin koostuu pisteellä erotetusta laitoksesta ja prioriteetista (.) (esim. mail.info)
2. toiminnot
– mitä tehdä sovitetuille viesteille
– yleensä kohde, johon viesti kirjataan (tiedosto paikallisella koneella tai etäpalvelimella)
valitsimet ja toiminnot
valitsimet koostuvat 2 asian välineistä ja prioriteeteista. Ne määrittävät, mitkä viestit täsmäävät. Toimintokenttä määrittää, mitä toimintoa käytetään vastaavaan viestiin. Esimerkiksi:
kern.debug /var/log/kernlog
– viestit, joissa on ydin ja priority debug-toiminto, kirjautuvat tiedostoon/var/log / kernlog.
– Prioriteettilauseet ovat hierarkkisia valitsijoissa. Rsyslog vastaa kaikkia viestejä, joilla on määritelty prioriteetti ja korkeampi. Joten kaikki viestit kernel priority debug ja korkeampi kirjataan. Koska Debug on alin prioriteetti, kaikki viestit, joissa on toiminto kern, täsmäävät.
– toinen tapa on käyttää asteriskia (*). Esimerkiksi:
kern.* /var/log/kernlog
– useampi valitsin voidaan määrittää yhdelle riville, jotka on erotettu puolipisteillä. Tämä on hyödyllistä, kun samaa toimintoa on sovellettava useisiin viesteihin.
– kun tiedosto on listattu toimintakenttään, vastaavat viestit kirjoitetaan tiedostoon.
– viestien kirjoittamiseen voi olla muitakin laitteita, kuten FIFO, terminal jne.
– jos käyttäjänimi on listattu toimintakenttään, vastaavat viestit tulostetaan käyttäjille kaikki päätteet, jos ne ovat kirjautuneet sisään.
– ( * ) toimintokentässä määritellään
tilat
laitosta käytetään määrittämään, minkä tyyppinen ohjelma tai sovellus tuottaa viestin. Näin syslog-taustaprosessi voi käsitellä eri lähteitä eri tavalla. Oheinen taulukko listaa vakiovarusteet ja niiden kuvauksen :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET uutiset alijärjestelmä |
| syslog | järjestelmälokidemonin sisäisesti tuottamat viestit |
| käyttäjä | yleiset käyttäjätason viestit |
| uucp | UUCP alijärjestelmä |
prioriteetti
viestin prioriteetti merkitsee viestin tärkeyttä. Alla olevassa taulukossa on lueteltu standardiprioriteetit ja niiden merkitykset :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
lokitiedostot kasvavat säännöllisesti ylitöiksi, joten niitä on trimmattava säännöllisesti. Linux tarjoaa apuohjelman tämän toiminnon tarjoamiseksi ilman käyttäjän toimenpiteitä. Logrotate-ohjelman avulla voidaan automatisoida lokitiedostojen kierto. Logrotaten peruskokoonpano tehdään asetustiedostossa / etc / logrotate.conf. Asetustiedostossa voimme asettaa vaihtoehtoja – kuten-kuinka usein lokit pitäisi kääntää ja kuinka monta vanhaa lokia säilytetään.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
yllä olevan logrotaattikokoonpanotiedoston mukaisesti lokit käännetään joka viikko (nykyisen lokin nimeäminen tiedostonimeksi.numerojärjestys):
minsize 1m – logrotate suorittaa ja trimmaa viestitiedostot, jos Tiedoston koko on yhtä suuri tai suurempi kuin 1 MB.
kierrä 4-pidä uusimmat 4 tiedostoa pyöriessäsi.
luo-luo uusi tiedosto samalla kun pyörit määritellyllä luvalla ja omistuksella.
include-include tässä mainitut tiedostot daemon specific log rotation-asetuksille.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– logrotaattideemoni lukee pääasiassa kaikki asetukset tiedostosta/etc / logrotate.conf ja sitten Sisältää daemon erityisiä asetustiedostoja / etc / logrotate.d / – Hakemisto.
– logrotate-taustaprosessi yhdessä vanhojen lokien pyörimisen ja poistamisen kanssa mahdollistaa lokitiedostojen pakkaamisen.
– demoni toimii päivittäin osoitteesta / etc / cron.päivittäinen / logrotate.
Logwatch
– RHEL-järjestelmiä toimitetaan myös logwatch-pakettien mukana.
– Logwatchin avulla voidaan analysoida lokit, jotta voidaan tunnistaa mahdolliset mielenkiintoiset viestit.
– Logwatch voi määrittää analysoimaan suosittujen palveluiden ja sähköpostin ylläpitäjän logfiles tuloksia.
– se voidaan määrittää tunti-tai yökohtaisesti mille tahansa epäilyttävälle toiminnalle. Oletuksena RHEL-järjestelmässä se suoritetaan öisin ja raportti lähetetään pääkäyttäjälle.
