Le démon du journal système est responsable de l’enregistrement des messages système générés par les applications ou le noyau. Le démon du journal système prend également en charge la journalisation à distance. Les messages sont différenciés par facilité et priorité. En principe, les journaux gérés par syslog sont disponibles dans le répertoire /var/log/ sur le système Linux :
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
où certains journaux sont stockés sous un sous-répertoire tel que cups, samba, httpd. Parmi les journaux sous /var/log, le /var/log/messages est le plus courant car les journaux système du noyau / du noyau y sont conservés. Les modules du noyau s’y déchargent généralement aussi. Ainsi, pour le diagnostic / la surveillance des problèmes, le fichier journal /var /log / messages est le fichier journal principal à examiner.
Le démon/service du journal système et son fichier de configuration diffèrent selon la version de Linux utilisée, c’est-à-dire :
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog est le nouveau démon de journalisation qui démarre RHEL6 pour concurrencer l’ancien démon syslog-ng. Quelques-uns des avantages fournis par le démon rsyslog par rapport à syslog-ng sont :
1. Réseau fiable
– Rsyslog utilise TCP au lieu de UDP qui est plus fiable. TCP utilise les capacités d’accusé de réception et de retransmission.
– avec le démon Rsyslog, vous pouvez spécifier plusieurs hôtes / fichiers de destination pour la livraison des messages si rsyslogd ne parvient pas à délivrer un message à la destination aprticular.
2. Precision
– il est possible de filtrer les messages sur n’importe quelle partie du message du journal plutôt que la priorité du message et de l’installation d’origine.
– prise en charge des horodatages précis pour enregistrer les messages du démon syslog.
3. Autres fonctionnalités
– Cryptage TLS
– possibilité de se connecter aux bases de données SQL.
rsyslog.conf
Le fichier de configuration –/etc/rsyslog.conf pour le démon rsyslogd est utilisé pour gérer tous les messages. Le fichier de configuration fournit essentiellement des instructions de règles qui fournissent à leur tour 2 choses:
– quels messages faire correspondre.
– le sélecteur se compose d’une facilité et d’une priorité séparées par un point (.) (p. ex. mail.info )
2. actions
– que faire avec les messages correspondants
– généralement une destination pour enregistrer le message (fichier sur la machine locale ou un hôte distant)
Les sélecteurs et les actions
les sélecteurs sont composés de 2 choses installations et priorités. Ils spécifient quels messages doivent correspondre. Le champ action spécifie l’action à appliquer au message correspondant. Par exemple :
kern.debug /var/log/kernlog
– Les messages avec une fonction de débogage du noyau et de la priorité sont enregistrés dans le fichier /var/log/kernlog.
– Les instructions de priorité sont hiérarchisées dans les sélecteurs. Rsyslog fait correspondre tous les messages avec une priorité spécifiée et supérieure. Ainsi, tous les messages du noyau avec priority debug et supérieur sont enregistrés. Le débogage étant la priorité la plus basse, tous les messages avec facility kern sont appariés.
– Une autre façon de le faire est d’utiliser l’astérisque (*). Par exemple :
kern.* /var/log/kernlog
– plusieurs sélecteurs peuvent être spécifiés sur une seule ligne séparée par des points-virgules. Ceci est utile lorsque la même action doit être appliquée à plusieurs messages.
– lorsqu’un fichier est répertorié dans le champ d’action, les messages correspondants sont écrits dans le fichier.
– Il peut y avoir d’autres périphériques tels que FIFO, terminal, etc. pour écrire les messages.
– Si un nom d’utilisateur est répertorié dans le champ d’action, les messages correspondants sont imprimés aux utilisateurs de tous les terminaux s’ils sont connectés.
–(*) dans le champ d’action spécifie
Facilities
L’installation est utilisée pour spécifier le type de programme ou d’application générant le message. Permettant ainsi au démon syslog de gérer différentes sources différemment. Le tableau ci-dessous répertorie les installations standard et leur description :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET sous-système de nouvelles |
| syslog | messages générés en interne par le démon du journal système |
| utilisateur | messages génériques au niveau de l’utilisateur |
| uucp | sous-système UUCP |
Priorité
La priorité d’un message signifie l’importance de ce message. Le tableau ci-dessous énumère les priorités standard et leurs significations :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
Les fichiers journaux se développent régulièrement au fil du temps et doivent donc être rognés régulièrement. Linux fournit un utilitaire pour fournir cette fonctionnalité sans intervention de l’utilisateur. Le programme logrotate peut être utilisé pour automatiser la rotation du fichier journal. La configuration de base de logrotate se fait dans le fichier de configuration /etc/logrotate.conf. Dans le fichier de configuration, nous pouvons définir des options telles que – la fréquence à laquelle les journaux doivent être pivotés et le nombre d’anciens journaux à conserver.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
Selon le fichier de configuration logrotate ci-dessus, les journaux sont tournés chaque semaine (renommant le journal existant en nom de fichier.ordre des numéros):
minsize 1M – logrotate exécute et coupe les fichiers de messages si la taille du fichier est égale ou supérieure à 1 Mo.
rotation 4 – conservez les 4 fichiers les plus récents pendant la rotation.
create – crée un nouveau fichier lors de la rotation avec l’autorisation et la propriété spécifiées.
include – inclut les fichiers mentionnés ici pour les paramètres de rotation du journal spécifiques au démon.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– Le démon logrotate lit principalement toute la configuration du fichier /etc/logrotate.conf et inclut ensuite des fichiers de configuration spécifiques au démon de /etc/logrotate.d/ répertoire.
– Le démon logrotate, avec la rotation et la suppression des anciens journaux, permet la compression des fichiers journaux.
– Le démon s’exécute quotidiennement à partir de /etc/cron.journalier / journalier.
Logwatch
–- Les systèmes RHEL sont également livrés avec les paquets logwatch.
– Logwatch est utilisé pour analyser les journaux afin d’identifier les messages intéressants.
– Logwatch peut être configuré pour analyser les fichiers journaux des services populaires et envoyer les résultats à l’administrateur.
– Il peut être configuré toutes les heures ou toutes les nuits pour toute activité suspecte. Par défaut dans un système RHEL, il est exécuté tous les soirs et le rapport est envoyé par la poste à l’utilisateur root.
