The system log daemon is responsible for logging the system messages generated by applications or kernel. O servidor de registo do sistema também suporta o registo remoto. As mensagens são diferenciadas por facilidade e prioridade. Em princípio, os logs tratada pelo syslog estão disponíveis em /var/log/ diretório no sistema Linux :
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
, onde alguns dos logs são despejados em um subdiretório como o cups, samba, apache. Entre os logs em /var / log, a /var/log / messages é a mais comum como os logs do sistema kernel / core são mantidos lá. Os módulos do kernel geralmente descarregam lá também. Assim, para o diagnóstico de problemas / monitoração da /var/log / mensagens é o arquivo de log primário a examinar.
O daemon de log do sistema/serviço e do arquivo de configuração difere dependendo da versão do Linux usado i.e.:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog é o novo daemon de logging iniciar o RHEL6 para competir com o velho syslog-ng daemon. Poucos dos benefícios que o servidor rsyslog oferece sobre o syslog-ng são:
1. Rede confiável
– Rsyslog usa TCP em vez de UDP que é mais confiável. O TCP usa as capacidades de recepção e retransmissão.
– com o servidor do Rsyslog, poderá indicar várias máquinas/ficheiros de destino para a entrega de mensagens se o rsyslogd não conseguir entregar uma mensagem para o destino aprticular.2. Precision
– é possível filtrar mensagens em qualquer parte da mensagem de log ao invés da prioridade da mensagem e da instalação original.
– suporte para datas precisas para logar mensagens que o servidor syslog.3. Other features
– TLS encryption
– ability to log to SQL databases.
rsyslog.conf
o ficheiro de configuração – / etc / rsyslog.conf para o servidor rsyslogd é usado para lidar com todas as mensagens. O arquivo de configuração basicamente fornece instruções de regras que por sua vez fornece 2 coisas:
– what messages to match.
– selector consiste de uma facilidade e prioridade separadas por um ponto (.) (e.g. mail.info)
2. actions
– what to do with matched messages
– usually a destination to log the message (file on local machine or a remote host)
Selectors and actions
Selectors are made up of 2 things facilities and priorities. Especificam as mensagens a combinar. O campo de Acção especifica qual a acção a aplicar à mensagem correspondente. Por exemplo:
kern.debug /var/log/kernlog
– as mensagens com uma facilidade de kernel e depuração de prioridade estão ligadas ao ficheiro /var/log/kernlog.
– As declarações de prioridade são hierárquicas em selectores. O Rsyslog corresponde a todas as mensagens com prioridade especificada e superior. Assim, todas as mensagens do kernel com depuração de prioridade e superior são registradas. Depurar sendo a prioridade mais baixa todas as mensagens com a facilidade kern são correspondidas.r– – outra maneira de fazer isso é usar o asterisco (*). Por exemplo:
kern.* /var/log/kernlog
– os selectores múltiplos podem ser especificados numa única linha, separada por ponto e vírgula. Isto é útil quando a mesma ação precisa ser aplicada a várias mensagens.
– quando um arquivo é listado no campo de ação, as mensagens correspondentes são escritas no arquivo.r– – Pode haver outros dispositivos como FIFO, terminal etc para escrever as mensagens.
– se um nome de usuário está listado no campo de ação, as mensagens correspondentes são impressas para os usuários todos os terminais se eles estiverem logados.
– ( * ) in the action field specifies
Facilities
the facility is used to specify which type of program or application is generating the message. Deste modo, permite ao servidor do syslog lidar com diferentes fontes de forma diferente. O quadro seguinte apresenta a lista das instalações padrão e a sua descrição :
Facility | Description |
---|---|
auth/authpriv | security/authorization messages (private) |
cron | clock daemon (crond and atd messages) |
daemon | messages from system daemons without separate facility |
kern | kernel messages |
local0 – local7 | reserved for local use |
lpr | line printer subsystem |
messages from mail daemons | |
news | USENET notícias subsistema |
‘syslog’ | mensagens geradas internamente pelo daemon de log do sistema |
utilizador | genéricas de nível do usuário mensagens |
uucp | subsistema de UUCP |
Prioridade
A prioridade de uma mensagem indica a importância da mensagem. O quadro seguinte apresenta as prioridades-padrão e os seus significados :
Priority | Description |
---|---|
emerg | system is unusable |
alert | action must be taken immediately |
crit | critical conditions |
err | error conditions |
warning | warning conditions |
notice | normal but significant importance |
info | informational messages |
debug | debugging messages |
Log Rotation
arquivos de Log
crescem regularmente horas extras e, portanto, eles precisam ser aparados regularmente. Linux fornece um utilitário para fornecer esta funcionalidade sem intervenção do Usuário. O programa logrotate pode ser usado para automatizar a rotação de arquivos de log. A configuração básica do logrotate é feita no ficheiro de configuração /etc/logrotate.conf. No arquivo de configuração podemos definir opções como-com que frequência os registros devem ser rodados e quantos registros antigos devem ser mantidos.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
de acordo com o ficheiro de configuração do logrotato acima, os registos são alternados todas as semanas (renomeando o registo existente para nome de ficheiro.ordem de números):
minsize 1M-logrotate executa e trima os arquivos de mensagens se o tamanho do arquivo é igual ou superior a 1 MB.
rodar 4-Manter os 4 arquivos mais recentes enquanto gira.
create-create new file while rotating with specified permission and ownership.
include-inclua os arquivos mencionados aqui para as configurações de rotação de log específicas do daemon.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– o servidor logrotate lê principalmente toda a configuração a partir do ficheiro /etc/logrotate.conf e, em seguida, inclui os arquivos de configuração específicos do daemon do /etc / logrotate.d / directory.
– O servidor logrotate, juntamente com a rotação e remoção de registros antigos, permite a compressão de arquivos de log.
– o daemon corre diariamente de /etc / cron.diário/logrotato.
Logwatch
– os sistemas RHEL também são fornecidos com pacotes logwatch.
– Logwatch é usado para analisar os logs para identificar quaisquer mensagens interessantes.
– Logwatch pode ser configurado para analisar logfiles de serviços populares e administrador de E-mail os resultados.r– – Ele pode ser configurado de hora em hora ou noite para qualquer atividade suspeita. Por padrão em um sistema RHEL, ele é executado de noite e relatório é enviado para o usuário root.