a rendszernapló démon felelős az alkalmazások vagy a kernel által generált rendszerüzenetek naplózásáért. A rendszernapló démon támogatja a távoli naplózást is. Az üzeneteket létesítmény és prioritás szerint különböztetjük meg. Elvileg a syslog által kezelt naplók a/var/ log/könyvtárban érhetők el Linux rendszeren:
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
ahol a naplók egy részét egy alkönyvtárba dobják, mint a cups, samba, httpd. A /var/log alatt található naplók közül a/var/log / üzenetek a leggyakoribbak, mivel a kernel / core rendszernaplók ott vannak. A kernelmodulok általában ott is lerakódnak. Tehát a probléma diagnosztizálásához /ellenőrzéséhez a/var/log / messages az elsődleges naplófájl, amelyet meg kell vizsgálni.
a rendszernapló démon/szolgáltatás és annak konfigurációs fájlja a használt Linux verziójától függően eltérő, azaz:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
az rsyslog az új naplózási démon, amely az RHEL6-ot kezdi versenyezni a régi syslog-ng démonnal. Az rsyslog démon néhány előnye a syslog-ng-vel szemben:
1. Megbízható hálózati
– Rsyslog TCP helyett UDP, amely megbízhatóbb. A TCP a nyugtázási és újraküldési képességeket használja.
– az Rsyslog démon segítségével több célállomást/fájlt is megadhat az üzenetek kézbesítéséhez, ha az rsyslogd nem tud üzenetet továbbítani az aprtikuláris célállomásra.
2. Precision
– lehetőség van arra, hogy kiszűrje az üzeneteket bármely részét log üzenet helyett a prioritás az üzenet és az eredeti létesítmény.
– támogatás a pontos időbélyegek naplózza az üzeneteket, hogy a syslog démon.
3. Egyéb funkciók
– TLS titkosítás– br > – képesség, hogy jelentkezzen be az SQL adatbázisok.
rsyslog.conf
a konfigurációs fájl – /etc/rsyslog.az rsyslogd démon conf-ját használják az összes üzenet kezelésére. A konfigurációs fájl alapvetően szabályokat tartalmaz, amelyek viszont 2 dolgot biztosítanak:
– milyen üzeneteket egyezik.
– selector áll egy lehetőség és prioritás elválasztva egy pont (.) (pl. mail.info)
2. műveletek
– Mi a teendő az egyező üzenetekkel
– általában az üzenet naplójának rendeltetési helye (fájl helyi gépen vagy távoli gazdagépen)
A kiválasztók és a műveletek
a kiválasztók 2 dologból állnak létesítmények és prioritások. Meghatározzák, hogy mely üzeneteknek kell megfelelniük. A művelet mező meghatározza, hogy milyen műveletet kell alkalmazni az egyeztetett üzenetre. Például:
kern.debug /var/log/kernlog
– a rendszermaggal és prioritásos hibakereséssel rendelkező üzenetek be vannak jelentkezve a /var/log/kernlog fájlba.
– a prioritási utasítások hierarchikusak a választókban. Az Rsyslog az összes megadott prioritású vagy magasabb üzenethez illeszkedik. Tehát a rendszermag összes, a debug prioritással rendelkező vagy annál magasabb üzenetei naplózásra kerülnek. Hibakeresés, hogy a legalacsonyabb prioritás az összes üzenetet létesítmény kern illeszkedik.
– ennek másik módja a csillag (*) használata. Például:
kern.* /var/log/kernlog
– Több szelektor is megadható egyetlen sorban, pontosvesszővel elválasztva. Ez akkor hasznos, ha ugyanazt a műveletet több üzenetre kell alkalmazni.
– Ha egy fájl szerepel a művelet mezőben, az egyeztetett üzenetek a fájlba kerülnek.
– nem lehet más eszközök, mint a FIFO, terminál stb írni az üzeneteket.
– Ha egy felhasználónév szerepel a művelet mezőben, akkor az egyeztetett üzenetek a felhasználóknak az összes terminálra kinyomtatásra kerülnek, ha be vannak jelentkezve.
– ( * ) a művelet mezőben adja meg a
létesítmények
lehetőséget annak meghatározására, hogy milyen típusú program vagy alkalmazás generálja az üzenetet. Így lehetővé téve a syslog démon számára a különböző források eltérő kezelését. Az alábbi táblázat felsorolja a szabványos létesítményeket és azok leírását :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET hírek alrendszer | syslog | a rendszernapló démon által belsőleg generált üzenetek |
| felhasználó | általános felhasználói szintű üzenetek |
| uucp | UUCP alrendszer |
prioritás
Az üzenet prioritása az üzenet fontosságát jelzi. Az alábbi táblázat felsorolja a standard prioritásokat és azok jelentését :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
A naplófájlok rendszeresen túlóráznak, ezért rendszeresen vágni kell őket. A Linux olyan segédprogramot biztosít, amely felhasználói beavatkozás nélkül biztosítja ezt a funkciót. A logrotate program használható a naplófájl forgatásának automatizálására. Az alapvető logrotate konfiguráció az /etc/logrotate konfigurációs fájlban történik.conf. A konfigurációs fájlban olyan beállításokat adhatunk meg, mint például – milyen gyakran kell elforgatni a naplókat, és hány régi naplót kell megőrizni.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
a fenti logrotate konfigurációs fájl szerint a naplók minden héten elforgatásra kerülnek (a meglévő napló átnevezése fájlnévre.számsorrend):
minsize 1M-a logrotate futtatja és vágja le az üzenetfájlokat, ha a fájl mérete 1 MB vagy annál nagyobb.
forgatás 4-tartsa a legutóbbi 4 fájlt forgatás közben.
create – új fájl létrehozása forgatás közben megadott jogosultsággal és tulajdonjoggal.
include – tartalmazza az itt említett fájlokat a démon specifikus naplózási beállításokhoz.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– a logrotate démon elsősorban az /etc/logrotate fájlból olvassa az összes konfigurációt.conf, majd tartalmazza a démonspecifikus konfigurációs fájlokat az /etc/logrotate állományból.d / könyvtár.
– a logrotate démon a régi naplók elforgatásával és eltávolításával együtt lehetővé teszi a naplófájlok tömörítését.
– a démon naponta fut az /etc/cron állományból.napi / logrotate.
Logwatch
– az RHEL rendszereket logwatch csomagokkal is szállítják.
– A Logwatch a naplók elemzésére szolgál, hogy azonosítsa az érdekes üzeneteket.
– Logwatch lehet beállítani, hogy elemezze logfiles népszerű szolgáltatások és e-mail rendszergazda az eredményeket.
– meg lehet konfigurálni óránkénti vagy éjszakai alapon bármilyen gyanús tevékenységet. Alapértelmezés szerint egy RHEL rendszerben éjszaka fut, és jelentést küld a root felhasználónak.
