system log daemon er ansvarlig for å logge systemmeldinger generert av programmer eller kernel. Systemloggen daemon støtter også ekstern logging. Meldingene er differensiert av anlegget og prioritet. I prinsippet er loggene håndtert av syslog tilgjengelig i/ var / log / katalogen På Linux system:
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
der noen av loggene er dumpet under en underkatalog som cups, samba, httpd. Blant loggene under / var / log er/var / log / meldinger den vanligste som kjernen / kjernesystemloggene holdes der. Kjernemodulene dumper vanligvis også der. Så, for problemdiagnose / overvåking er /var / log / meldinger den primære loggfilen å undersøke.
systemloggen daemon/service og det er konfigurasjonsfilen varierer avhengig av hvilken Versjon Av Linux som brukes dvs.:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog Er den nye logging daemon starter RHEL6 å konkurrere med den gamle syslog-ng daemon. Få av fordelene rsyslog daemon gir over syslog-ng er:
1. Pålitelig Nettverk-Rsyslog bruker TCP i stedet FOR UDP som er mer pålitelig. TCP bruker anerkjennelse og videresending evner.– Med Rsyslog daemon kan du angi flere mål verter / filer for meldinger levering hvis rsyslogd er i stand til å levere en melding til aprticular destinasjon.
2. Precision
– det er mulig å filtrere meldinger på noen del av loggmeldingen i stedet for prioritet av meldingen og den opprinnelige anlegget.– br > – støtte for presise tidsstempler for å logge meldinger som syslog daemon.
3. Andre funksjoner – tls kryptering– evne til å logge PÅ SQL databaser.
rsyslog.conf
konfigurasjonsfilen- / etc/rsyslog.conf for rsyslogd daemon brukes til å håndtere alle meldingene. Konfigurasjonsfilen gir i utgangspunktet regler uttalelser som igjen gir 2 ting:
– hvilke meldinger å matche.
– velgeren består av et anlegg og prioritet atskilt med en prikk (.) (f. eks. mail.info)
2. handlinger – vanligvis et mål for å logge meldingen (fil på lokal maskin eller en ekstern vert)
Velgere og handlinger
Velgere består av 2 ting fasiliteter og prioriteringer. De angir hvilke meldinger som skal samsvare. Handling-feltet angir hvilken handling som skal brukes på den samsvarende meldingen. For Eksempel :
kern.debug /var/log/kernlog
– meldingene med med en innretning av kjernen og prioritet debug er logget inn i filen / var / log / kernlog.
– Prioriterte uttalelser er hierarkiske i velgere. Rsyslog matcher alle meldingene med spesifisert prioritet og høyere. Så alle meldingene fra kjernen med prioritet debug og høyere logges. Feilsøking er den laveste prioriteten alle meldingene med facility kern matches.
– En annen måte å gjøre dette på er å bruke stjernen (*). For eksempel:
kern.* /var/log/kernlog
– / div>
– flere velgere kan spesifiseres på en enkelt linje atskilt med semikolon. Dette er nyttig når samme handling må brukes på flere meldinger.
– når en fil er oppført i handlingsfeltet, skrives de samsvarende meldingene inn i filen.– br > – Det kan være andre enheter som FIFO, terminal etc å skrive meldingene til.
– hvis et brukernavn er oppført i handlingsfeltet, skrives de samsvarende meldingene ut til brukerne alle terminalene hvis de er logget inn.
– (*) i handlingsfeltet angir
Fasiliteter
anlegget brukes til å angi hvilken type program eller program som genererer meldingen. Dermed gjør det mulig for syslog-demonen å håndtere forskjellige kilder annerledes. Tabellen nedenfor viser standard fasiliteter og deres beskrivelse :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET nyheter subsystem |
| syslog | meldinger generert internt av system logg daemon |
| generiske bruker-nivå meldinger | |
| uucp |
prioritet
prioriteten til en melding betyr betydningen av meldingen. Tabellen nedenfor viser standard prioriteringer og deres betydning :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
Loggfiler vokser regelmessig overtid, og dermed må De trimmes regelmessig. Linux gir et verktøy for å gi denne funksjonaliteten uten brukermedvirkning. Den logrotate programmet kan brukes til å automatisere loggfilen rotasjon. Den grunnleggende logrotate konfigurasjonen er gjort i konfigurasjonsfilen / etc / logrotate.conf. I konfigurasjonsfilen kan vi angi alternativer som-hvor ofte logger skal roteres og hvor mange gamle logger som skal holdes.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
i henhold til logrotatkonfigurasjonsfilen ovenfor roteres loggene hver uke (omdøpe den eksisterende loggen til filnavn.minsize 1M-logrotate kjører og trimmer meldinger filer hvis filstørrelsen er lik eller større enn 1 MB.
rotate 4-hold de nyeste 4 filer mens du roterer.
create-opprett ny fil mens du roterer med spesifisert tillatelse og eierskap.include-inkluder filene som er nevnt her for daemon – spesifikke loggrotasjonsinnstillinger.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– logrotatdemonen leser hovedsakelig all konfigurasjon fra fil / etc / logrotate.conf og deretter inkluderer daemon spesifikke konfigurasjonsfiler fra / etc / logrotate.d / katalog.– br > – den logrotate daemon sammen med rotasjon og fjerning av gamle logger, tillater komprimering av loggfiler.
– demon kjører daglig fra / etc / cron.daglig / logrotate.
Logwatch
– RHEL-systemer leveres også med logwatch-pakker.
– Logwatch brukes til å analysere loggene for å identifisere noen interessante meldinger .- Logwatch kan konfigureres til å analysere loggfiler fra populære tjenester og e-post administrator resultatene.– br > – den kan konfigureres på time eller nattlig basis for mistenkelig aktivitet. Som standard I ET RHEL-system kjøres det på nattlig basis, og rapporten sendes til rotbruker.
