demonul jurnal de sistem este responsabil pentru înregistrarea mesajelor de sistem generate de aplicații sau kernel. Demonul jurnal de sistem acceptă, de asemenea, înregistrarea la distanță. Mesajele sunt diferențiate în funcție de facilitate și prioritate. În principiu, jurnalele gestionate de syslog sunt disponibile în directorul/var/ log/pe sistemul Linux:
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
unde unele dintre jurnale sunt aruncate sub un subdirector precum cups, samba, httpd. Printre jurnalele din /var /log/var/log / messages este cea mai comună, deoarece jurnalele de sistem kernel / core sunt ținute acolo. Modulele kernel, în general, haldele acolo. Deci, pentru diagnosticarea / monitorizarea problemelor /var/log/messages este fișierul jurnal principal de examinat.
daemonul/serviciul de jurnal de sistem și fișierul de configurare diferă în funcție de versiunea Linux utilizată, adică:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog este noul daemon de logare care începe RHEL6 pentru a concura cu vechiul daemon syslog-ng. Câteva dintre beneficiile rsyslog daemon oferă peste syslog-ng sunt:
1. Rețea fiabilă
– Rsyslog utilizează TCP în loc de UDP, care este mai fiabil. TCP utilizează capacitățile de confirmare și retransmisie.– br > – cu Daemon Rsyslog puteți specifica mai multe gazde/fișiere de destinație pentru livrarea mesajelor dacă rsyslogd nu este în măsură să livreze un mesaj la destinație aprticular.
2. Precizie
– este posibil pentru a filtra mesajele de pe orice parte a mesajului jurnal, mai degrabă decât prioritatea mesajului și facilitatea inițială.– br > – suport pentru marcajele de timp precise pentru a vă conecta mesajele pe care demonul syslog.
3. Alte caracteristici
– criptare TLS
– capacitatea de a vă conecta la baze de date SQL.
rsyslog.conf
fișierul de configurare – /etc/rsyslog.conf pentru demonul rsyslogd este folosit pentru a gestiona toate mesajele. Fișierul de configurare oferă practic instrucțiuni reguli care, la rândul său, oferă 2 lucruri :
– Ce mesaje pentru a se potrivi.
– selector constă dintr-o facilitate și prioritate separate printr-un punct (.) (de ex. mail.info)
2. acțiuni r–– Ce să fac cu mesaje potrivite
– De obicei, o destinație pentru a vă conecta mesajul (fișier pe mașină locală sau o gazdă la distanță)
selectoare și acțiuni
Selectoare sunt alcătuite din 2 lucruri facilități și priorități. Acestea specifică ce mesaje să se potrivească. Câmpul acțiune specifică ce acțiune să se aplice mesajului potrivit. De exemplu:
kern.debug /var/log/kernlog
– mesajele cu o facilitate de kernel și prioritate debug sunt înregistrate în fișierul/var/log / kernlog.
– declarațiile de prioritate sunt ierarhice în selectori. Rsyslog se potrivește cu toate mesajele cu prioritate specificată și mai mare. Deci, toate mesajele de la kernel cu prioritate debug și mai mare sunt înregistrate. Debug fiind cea mai mică prioritate toate mesajele cu facilitatea kern sunt potrivite.
– un alt mod de a face acest lucru este de a utiliza asteriscul (*). De exemplu:
kern.* /var/log/kernlog
– selectorii multipli pot fi specificați pe o singură linie separată prin punct și virgulă. Acest lucru este util atunci când aceeași acțiune trebuie aplicată mai multor mesaje.– br > – când un fișier este listat în câmpul de acțiune, mesajele potrivite sunt scrise în fișier.
– Pot exista alte dispozitive, cum ar fi FIFO, terminal etc pentru a scrie mesajele.– br > – în cazul în care un nume de utilizator este listat în câmpul de acțiune, mesajele potrivite sunt imprimate utilizatorilor toate terminalele în cazul în care sunt autentificați.
– (*) în câmpul de acțiune specifică
facilități
facilitatea este utilizată pentru a specifica ce tip de program sau aplicație generează mesajul. Permițând astfel demonului syslog să gestioneze diferite surse în mod diferit. Tabelul de mai jos enumeră facilitățile standard și descrierea acestora :
| Facility | Description |
|---|---|
| auth/authpriv | security/authorization messages (private) |
| cron | clock daemon (crond and atd messages) |
| daemon | messages from system daemons without separate facility |
| kern | kernel messages |
| local0 – local7 | reserved for local use |
| lpr | line printer subsystem |
| messages from mail daemons | |
| news | USENET știri subsistem |
| syslog | mesaje generate intern de sistem log daemon | utilizator | mesaje generice la nivel de utilizator |
| UUCP | UUCP subsistem |
prioritate
prioritatea unui mesaj semnifică importanța acelui mesaj. Tabelul de mai jos enumeră prioritățile standard și semnificațiile acestora :
| Priority | Description |
|---|---|
| emerg | system is unusable |
| alert | action must be taken immediately |
| crit | critical conditions |
| err | error conditions |
| warning | warning conditions |
| notice | normal but significant importance |
| info | informational messages |
| debug | debugging messages |
Log Rotation
fișierele jurnal cresc în mod regulat Ore suplimentare și, prin urmare, trebuie să fie tăiate în mod regulat. Linux oferă un utilitar pentru a oferi această funcționalitate fără intervenția utilizatorului. Programul logrotate poate fi folosit pentru a automatiza rotirea fișierului jurnal. Configurația logrotate de bază se face în fișierul de configurare /etc/logrotate.conf. În fișierul de configurare putem seta opțiuni precum – cât de des ar trebui rotite jurnalele și câte jurnale vechi trebuie păstrate.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
conform fișierului de configurare logrotate de mai sus, jurnalele sunt rotite în fiecare săptămână (redenumirea jurnalului existent în numele fișierului.numărul de ordine):
minsize 1m – logrotate ruleaza si ornamente fișierele mesaje în cazul în care Dimensiunea fișierului este egală sau mai mare de 1 MB.
rotate 4 – Păstrați cele mai recente 4 fișiere în timp ce rotirea.
creare-crearea de fișier nou în timp ce rotirea cu permisiunea specificată și de proprietate.
includ – includ fișierele menționate aici pentru setările de rotație jurnal daemon specifice.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– demonul logrotate citește în principal toată configurația din fișier/etc / logrotate.conf și apoi include daemon fișiere de configurare specifice din / etc / logrotate.d / Director.
– demonul logrotate împreună cu rotația și îndepărtarea jurnalelor vechi, permite comprimarea fișierelor jurnal.
– demonul rulează zilnic de la/etc / cron.zilnic/logrotate.
Logwatch
– sistemele RHEL sunt, de asemenea, livrate cu pachete logwatch.
– Logwatch este folosit pentru a analiza jurnalele pentru a identifica orice mesaje interesante.
– Logwatch poate configurat pentru a analiza fișierele jurnal de la servicii populare și administrator de e-mail rezultatele.– br > – acesta poate fi configurat pe bază de oră sau de noapte pentru orice activitate suspectă. În mod implicit într-un sistem RHEL, acesta este rulat pe bază de noapte și raportul este trimis prin poștă la utilizator rădăcină.
