Demon dziennika systemowego jest odpowiedzialny za rejestrowanie komunikatów systemowych generowanych przez aplikacje lub jądro. Demon dziennika systemowego obsługuje również zdalne rejestrowanie. Wiadomości są zróżnicowane w zależności od obiektu i priorytetu. W zasadzie, logi obsługiwane przez syslog są dostępne w katalogu /var/log/ w systemie Linux :
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
gdzie niektóre logi są umieszczane w podkatalogu takim jak cups, samba, httpd. Wśród logów pod /var / log najczęściej jest używany /var/log/messages, ponieważ są tam przechowywane logi systemowe jądra / rdzenia. Moduły jądra zazwyczaj są tam zrzucane. Tak więc, do diagnozowania / monitorowania problemów/var/log / messages jest podstawowym plikiem dziennika do zbadania.
Demon/usługa dziennika systemowego i jego plik konfiguracyjny różnią się w zależności od używanej wersji Linuksa, np.:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
rsyslog jest nowym demonem logowania zaczynającym RHEL6, aby konkurować ze starym demonem syslog-ng. Kilka korzyści, jakie daemon rsyslog zapewnia nad syslog-ng to:
1. Niezawodna sieć
– Rsyslog używa TCP zamiast UDP, co jest bardziej niezawodne. TCP wykorzystuje możliwości potwierdzenia i retransmisji.
– za pomocą demona Rsyslog możesz określić wiele hostów docelowych/plików do dostarczania wiadomości, Jeśli rsyslogd nie jest w stanie dostarczyć wiadomości do aprticular destination.
2. Precyzja
– możliwe jest filtrowanie wiadomości na dowolnej części wiadomości dziennika, a nie priorytetu wiadomości i oryginalnego obiektu.
– obsługa precyzyjnych znaczników czasu do logowania wiadomości, które Demon syslog.
3. Inne funkcje
– szyfrowanie TLS
– możliwość logowania do baz danych SQL.
rsyslog.conf
plik konfiguracyjny – /etc/rsyslog.conf dla demona rsyslogd jest używany do obsługi wszystkich wiadomości. Plik konfiguracyjny zasadniczo zawiera instrukcje reguł, które z kolei dostarczają 2 rzeczy:
– selektor składa się z obiektu i priorytetu oddzielonego kropką (.) (np. mail.info)
2. akcje r– – co zrobić z dopasowanymi wiadomościami
– Zwykle miejsce do logowania wiadomości (plik na komputerze lokalnym lub zdalnym hoście)
selektory i akcje
selektory składają się z 2 rzeczy udogodnienia i priorytety. Określają one, które wiadomości mają być dopasowane. Pole action określa, jaką akcję zastosować do dopasowanej wiadomości. Na przykład:
kern.debug /var/log/kernlog
– wiadomości z funkcją debugowania jądra i priorytetu są rejestrowane do pliku /var/log/kernlog.
– wyrażenia priorytetowe są hierarchiczne w selektorach. Rsyslog dopasowuje wszystkie wiadomości o określonym priorytecie i wyższym. Tak więc wszystkie wiadomości z jądra o priorytecie debug i wyższym są rejestrowane. Debugowanie jest NAJNIŻSZYM priorytetem wszystkie wiadomości z facility kern są dopasowane.
– innym sposobem na to jest użycie gwiazdki (*). Na przykład:
kern.* /var/log/kernlog
– w jednej linii można podać wiele selektorów oddzielonych średnikami. Jest to przydatne, gdy ta sama akcja musi być zastosowana do wielu wiadomości.
– gdy plik jest wymieniony w polu action, dopasowane wiadomości są zapisywane do pliku .
– mogą być inne urządzenia takie jak FIFO, terminal itp.do zapisu wiadomości.
– jeśli w polu action znajduje się nazwa użytkownika, dopasowane wiadomości są drukowane użytkownikom wszystkich terminali, Jeśli są zalogowani.
– (*) w polu action określa
Facilities
funkcja służy do określenia, który typ programu lub aplikacji generuje komunikat. Umożliwiając tym samym demonowi syslog różną obsługę różnych źródeł. Poniższa tabela przedstawia standardowe obiekty i ich opis :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET podsystem aktualności |
| syslog | wiadomości generowane wewnętrznie przez demona dziennika systemowego |
| użytkownik | Ogólne wiadomości użytkownika |
| UUCP | podsystem UUCP |
priorytet
priorytet wiadomości oznacza jej znaczenie. Poniższa tabela przedstawia standardowe priorytety i ich znaczenie :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
pliki dziennika rosną regularnie w godzinach nadliczbowych i dlatego należy je regularnie przycinać. Linux udostępnia narzędzie do zapewnienia tej funkcjonalności bez interwencji użytkownika. Program logrotate może być używany do automatyzacji rotacji plików dziennika. Podstawowa konfiguracja logrotate odbywa się w pliku konfiguracyjnym /etc/logrotate.conf. W pliku konfiguracyjnym możemy ustawić takie opcje jak-jak często logi mają być obracane oraz ile starych logów ma być przechowywanych.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
zgodnie z powyższym plikiem konfiguracyjnym logrotate dzienniki są zmieniane co tydzień (zmiana nazwy istniejącego dziennika na nazwę pliku.number order):
minsize 1m – logrotate uruchamia i przycina pliki wiadomości, Jeśli Rozmiar pliku jest równy lub większy niż 1 MB.
rotate 4 – zachowaj najnowsze 4 pliki podczas obracania.
create – tworzy nowy plik podczas obracania z określonym uprawnieniem i własnością.
include – włącza wymienione tutaj Pliki dla ustawień rotacji dziennika określonego przez demona.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– Demon logrotate głównie odczytuje całą konfigurację z pliku/etc / logrotate.conf, a następnie zawiera specyficzne dla demona pliki konfiguracyjne z /etc / logrotate.d / katalog.
– Demon logrotate wraz z rotacją i usuwaniem starych logów, umożliwia kompresję plików logów.
– daemon działa codziennie z /etc/cron.dzienny / logrotat.
Logwatch
– systemy RHEL są również dostarczane z pakietami logwatch.
– Logwatch służy do analizy logów w celu identyfikacji interesujących wiadomości.
– Logwatch może skonfigurować analizę plików dziennika z popularnych usług i administratora poczty e-mail wyników.
– można go skonfigurować co godzinę lub co noc dla każdej podejrzanej aktywności. Domyślnie w systemie RHEL jest uruchamiany co noc, a raport jest wysyłany do użytkownika root.
