Il demone del log di sistema è responsabile della registrazione dei messaggi di sistema generati dalle applicazioni o dal kernel. Il demone del registro di sistema supporta anche la registrazione remota. I messaggi sono differenziati per struttura e priorità. In linea di principio, i log gestiti da syslog sono disponibili nella directory / var / log / sul sistema Linux:
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
dove alcuni dei log sono scaricati in una sottodirectory come cups, samba, httpd. Tra i log in /var/log il /var/log/messages è il più comune in quanto i log di sistema del kernel / core sono tenuti lì. I moduli del kernel generalmente si scaricano anche lì. Quindi, per la diagnosi / il monitoraggio del problema / var / log / messages è il file di registro principale da esaminare.
Il demone/servizio del registro di sistema e il suo file di configurazione variano a seconda della versione di Linux utilizzata, ad esempio:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog è il nuovo demone di registrazione che avvia RHEL6 per competere con il vecchio demone syslog-ng. Alcuni dei vantaggi che rsyslog daemon fornisce su syslog-ng sono:
1. Rete affidabile
– Rsyslog utilizza TCP invece di UDP che è più affidabile. TCP utilizza le funzionalità di riconoscimento e ritrasmissione.
– con il demone Rsyslog è possibile specificare più host/file di destinazione per la consegna dei messaggi se rsyslogd non è in grado di consegnare un messaggio a una destinazione particolare.
2. Precision
– e ‘ possibile filtrare i messaggi su qualsiasi parte del messaggio di log, piuttosto che la priorità del messaggio e la struttura originale.
– supporto per timestamp precisi per registrare i messaggi che il demone syslog.
3. Altre caratteristiche
– Crittografia TLS
– possibilità di accedere ai database SQL.
rsislog.conf
Il file di configurazione – /etc / rsyslog.conf per il demone rsyslogd viene utilizzato per gestire tutti i messaggi. Il file di configurazione fornisce fondamentalmente istruzioni di regole che a loro volta forniscono 2 cose:
– quali messaggi abbinare.
– selettore è costituito da una struttura e la priorità separati da un punto (.)(ad es. mail.info)
2. azioni
– cosa fare con i messaggi abbinati
– di solito una destinazione per registrare il messaggio (file sul computer locale o un host remoto)
Selettori e azioni
Selettori sono costituiti da 2 cose strutture e priorità. Specificano quali messaggi abbinare. Il campo azione specifica l’azione da applicare al messaggio corrispondente. Ad esempio:
kern.debug /var/log/kernlog
– I messaggi con una funzione di kernel e priorità di debug vengono registrati nel file /var/log/kernlog.
– Le istruzioni di priorità sono gerarchiche nei selettori. Rsyslog corrisponde a tutti i messaggi con priorità specificata e superiore. Quindi tutti i messaggi dal kernel con priorità di debug e superiore vengono registrati. Debug essendo la priorità più bassa tutti i messaggi con facilità kern sono abbinati.
– Un altro modo per farlo è usare l’asterisco (*). Ad esempio:
kern.* /var/log/kernlog
– è possibile specificare più selettori su una singola riga separata da punti e virgola. Ciò è utile quando la stessa azione deve essere applicata a più messaggi.
– quando un file è elencato nel campo azione, i messaggi corrispondenti vengono scritti nel file.r– – Ci possono essere altri dispositivi come FIFO, terminale ecc per scrivere i messaggi.
– Se un nome utente è elencato nel campo azione, i messaggi corrispondenti vengono stampati agli utenti tutti i terminali se sono loggati.
– (*) nel campo azione specifica
Facilities
La facility viene utilizzata per specificare il tipo di programma o applicazione che sta generando il messaggio. Consentendo così al demone syslog di gestire diverse fonti in modo diverso. La tabella seguente elenca le strutture standard e la loro descrizione :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET notizie sottosistema |
| syslog | messaggi generati internamente da demone del registro di sistema |
| utente | generici a livello di utente messaggi |
| uucp | UUCP sottosistema |
Priorità
La priorità di un messaggio che indica l’importanza del messaggio. La tabella seguente elenca le priorità standard e il loro significato :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
I file di registro crescono regolarmente fuori orario e quindi devono essere tagliati regolarmente. Linux fornisce un’utilità per fornire questa funzionalità senza l’intervento dell’utente. Il programma logrotate può essere utilizzato per automatizzare la rotazione dei file di registro. La configurazione di base di logrotate viene eseguita nel file di configurazione /etc/logrotate.conf. Nel file di configurazione possiamo impostare opzioni come: quanto spesso i registri devono essere ruotati e quanti vecchi registri devono essere conservati.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
Come per il file di configurazione logrotate sopra i log vengono ruotati ogni settimana (rinominando il log esistente in nome file.minsize 1M-logrotate esegue e taglia i file dei messaggi se la dimensione del file è uguale o superiore a 1 MB.
ruota 4-mantenere i 4 file più recenti durante la rotazione.
crea – crea un nuovo file durante la rotazione con l’autorizzazione e la proprietà specificate.
include – include i file menzionati qui per le impostazioni di rotazione del registro specifiche del demone.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– Il demone logrotate legge principalmente tutta la configurazione dal file/etc / logrotate.conf e quindi include file di configurazione specifici del demone da / etc / logrotate.d / directory.
– Il demone logrotate insieme alla rotazione e alla rimozione dei vecchi registri, consente la compressione dei file di registro.
– Il demone viene eseguito ogni giorno da / etc / cron.quotidiano / logrotate.
Logwatch
– I sistemi RHEL vengono forniti anche con i pacchetti logwatch.
– Logwatch viene utilizzato per analizzare i registri per identificare eventuali messaggi interessanti.
– Logwatch può configurato per analizzare i file di log da servizi popolari e amministratore di posta elettronica i risultati.r– – Può essere configurato su base oraria o notturna per qualsiasi attività sospetta. Per impostazione predefinita in un sistema RHEL, viene eseguito su base notturna e il report viene inviato all’utente root.
