システムログデーモンは、アプリケーションまたはカーネルによって生成されたシステムメッセージ システムログデーモンはリモートログもサポートしています。 メッセージは、機能と優先度によって区別されます。 原則として、syslogで処理されるログは、Linuxシステムの/var/log/ディレクトリにあります。
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
ここで、ログの一部はcups、samba、httpdのようなサブディレクトリの下にダンプされます。 /Var/logの下のログの中で、/var/log/messagesはkernel/coreシステムログがそこに保持されているため、最も一般的なログです。 カーネルモジュールは、一般的にもそこにダンプします。 したがって、問題の診断/監視のためには、/var/log/messagesが検査する主なログファイルです。
システムログデーモン/サービスとその設定ファイルは、使用されているLinuxのバージョンによって異なります。
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslogは、古いsyslog-ngデーモンと競合するためにRHEL6を開始する新しいロギングデーモンです。 Rsyslogデーモンがsyslog-ngを介して提供する利点のいくつかは次のとおりです。
1. 信頼性の高いネットワーキング
-Rsyslogは、より信頼性の高いUDPの代わりにTCPを使用します。 TCPでは、確認および再送信機能が使用されます。
–rsyslogデーモンを使用すると、rsyslogdがaprticular宛先にメッセージを配信できない場合、メッセージ配信のための複数の宛先ホスト/ファイルを指定することができます。
2. Precision
-メッセージの優先度と元の機能ではなく、ログメッセージの任意の部分でメッセージをフィルタリングすることができます。
–syslogデーモンというメッセージをログに記録するための正確なタイムスタンプのサポート。
3. その他の機能
–TLS暗号化
–sqlデータベースにログを記録する機能。
rsyslog.conf
設定ファイル–/etc/rsyslog。rsyslogdデーモンのconfは、すべてのメッセージを処理するために使用されます。 設定ファイルは基本的にルールステートメントを提供し、2つのことを提供します。
-どのメッセージを一致させるか。
–セレクタは、ドットで区切られた施設と優先順位で構成されています(.)(例:mail.info)
2. アクション
–一致したメッセージをどうするか
-通常、メッセージをログに記録する宛先(ローカルマシンまたはリモートホスト上のファイル)
セレクター 一致するメッセージを指定します。 Actionフィールドは、一致したメッセージに適用するアクションを指定します。 たとえば、次のようにします。
kern.debug /var/log/kernlog
kern.debug /var/log/kernlog
–kernelと優先度debugの機能を持つメッセージは、ファイル/var/log/kernlogに記録されます。
–優先度ステートメントはセレクタで階層化されています。 Rsyslogは、指定された優先度以上のすべてのメッセージと一致します。 そのため、優先度debug以上のカーネルからのすべてのメッセージがログに記録されます。 Debugが最も低い優先度であるファシリティkernを持つすべてのメッセージが一致します。
-これを行う別の方法は、アスタリスク(*)を使用することです。 たとえば、次のようにします。
kern.* /var/log/kernlog
–セミコロンで区切られた単一行に複数のセレクタを指定できます。 これは、同じアクションを複数のメッセージに適用する必要がある場合に便利です。
-アクションフィールドにファイルがリストされている場合、一致したメッセージがファイルに書き込まれます。
–FIFO、端末などの他のデバイスにメッセージを書き込むことができます。
-ユーザー名がアクションフィールドにリストされている場合、一致したメッセージは、ログインしている場合、すべての端末のユーザーに印刷されます。
–(*)アクションフィールドで指定します
施設
施設は、メッセージを生成しているプログラムまたはアプリケーションのタイプを指定するために使 したがって、syslogデーモンが異なるソースを異なる方法で処理できるようにします。 以下の表は、標準的な設備とその説明を示しています :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET システムログデーモンによって内部的に生成されたメッセージ |
| ユーザー | 汎用ユーザーレベルのメッセージ |
| uucp | UUCP subsystem |
優先度
メッセージの優先度は、そのメッセージの重要性を意味します。 以下の表は、標準的な優先順位とその意味を示しています :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
ログファイルは定期的に時間外に成長するため、定期的にトリミングする必要があります。 Linuxは、ユーザーの介入なしにこの機能を提供するユーティリティを提供します。 Logrotateプログラムは、ログファイルの回転を自動化するために使用できます。 Logrotateの基本的な設定は、設定ファイル/etc/logrotateで行われます。コンフ… 設定ファイルでは、–ログを回転させる頻度や古いログをいくつ保持するかなどのオプションを設定できます。 上記のlogrotate設定ファイルに従って、ログは毎週ローテーションされます(既存のログの名前をfilenameに変更します。番号順):
minsize1M–logrotateは、ファイルサイズが1MB以上の場合にメッセージファイルを実行してトリミングします。
回転4–回転しながら、最新の4つのファイルを保持します。
create–指定された権限と所有権で回転しながら新しいファイルを作成します。
include–デーモン固有のログ回転設定のためにここに記載されているファイルを含めます。-logrotateデーモンは主にファイル/etc/logrotateからすべての設定を読み込みます。/etc/logrotateからデーモン固有の設定ファイルを含めます。d/ディレクトリ。
–古いログの回転と削除と一緒にlogrotateデーモンは、ログファイルの圧縮を可能にします。
–デーモンは/etc/cronから毎日実行されます。毎日/ログロテート。
Logwatch
–RHELシステムにはlogwatchパッケージも同梱されています。
–Logwatchは、任意の興味深いメッセージを識別するためにログを分析するために使用されます。
–Logwatchは、一般的なサービスや電子メール管理者の結果からログファイルを分析するように設定することができます。
-それは、任意の不審な活動のために毎時または毎晩ベースで設定することができます。 RHELシステムでは、デフォルトでは夜間に実行され、レポートはrootユーザーに郵送されます。
