systemloggdemonen ansvarar för att logga systemmeddelanden som genereras av applikationer eller kärnor. Systemloggdemonen stöder också fjärrloggning. Meddelandena är differentierade efter anläggning och prioritet. I princip är loggarna som hanteras av syslog tillgängliga i katalogen/ var/log/på Linux-systemet:
# ls /var/logacpid cron.1 maillog.3 rpmpkgs.3 spooler.3anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4anaconda.syslog cron.3 messages sa squidanaconda.xlog cron.4 messages.1 samba tallylogaudit cups messages.2 scrollkeeper.log vboxboot.log dmesg messages.3 secure wtmpboot.log.1 faillog messages.4 secure.1 Xorg.0.logboot.log.2 gdm oracle-validated secure.2 Xorg.0.log.oldboot.log.3 httpd pm secure.3 YaST2boot.log.4 lastlog ppp secure.4 yum.logbtmp mail prelink setroubleshootconman maillog rpmpkgs spoolerconman.old maillog.1 rpmpkgs.1 spooler.1cron maillog.2 rpmpkgs.2 spooler.2
där några av loggarna dumpas under en underkatalog som cups, samba, httpd. Bland loggarna under / var / log är/var / log / meddelanden Den vanligaste eftersom kärnan / kärnsystemsloggarna hålls där. Kärnmodulerna dumpar i allmänhet också där. Så, för problemdiagnos /övervakning är/var/log / messages den primära loggfilen att undersöka.
systemloggdemonen/tjänsten och dess konfigurationsfil skiljer sig beroende på vilken version av Linux som används, dvs:
RHEL 5: syslogd - /etc/syslog.confRHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog är den nya loggningsdemonen som startar RHEL6 för att konkurrera med den gamla syslog-ng-demonen. Några av fördelarna rsyslog daemon ger över syslog-ng är:
1. Pålitlig nätverk
– Rsyslog använder TCP istället för UDP som är mer tillförlitlig. TCP använder kvitterings-och återutsändningsfunktionerna.
– med Rsyslog daemon kan du ange flera destinationsvärdar / filer för leverans av meddelanden om rsyslogd inte kan leverera ett meddelande till aprticular destination.
2. Precision
– det är möjligt att filtrera meddelanden på någon del av loggmeddelandet snarare än prioriteten för meddelandet och den ursprungliga anläggningen.
– stöd för exakta tidsstämplar för att logga meddelanden som syslog demonen.
3. Andra funktioner
– TLS-kryptering– br> – möjlighet att logga till SQL-databaser.
rsyslog.conf
konfigurationsfilen – /etc / rsyslog.conf för rsyslogd-demonen används för att hantera alla meddelanden. Konfigurationsfilen ger i princip regler uttalanden som i sin tur ger 2 saker:
– vilka meddelanden som ska matcha.
– selector består av en anläggning och prioritet åtskilda av en punkt (.) (t. ex. mail.info)
2. åtgärder
– vad man ska göra med matchade meddelanden
– vanligtvis en destination för att logga meddelandet (fil på lokal maskin eller en fjärrvärd)
väljare och åtgärder
väljare består av 2 saker faciliteter och prioriteringar. De anger vilka meddelanden som ska matcha. Åtgärdsfältet anger vilken åtgärd som ska tillämpas på det matchade meddelandet. Till exempel:
kern.debug /var/log/kernlog
– meddelandena med en anläggning med kärna och prioritetsfelsökning loggas in i filen /var/log/kernlog.
– prioriterade uttalanden är hierarkiska i väljare. Rsyslog matchar alla meddelanden med angiven prioritet och högre. Så alla meddelanden från kärnan med prioriterad debug och högre loggas. Debug är den lägsta prioriteten alla meddelanden med facility kern matchas.
– Ett annat sätt att göra detta är att använda asterisken (*). Till exempel:
kern.* /var/log/kernlog
– flera väljare kan anges på en enda rad åtskilda av semikolon. Detta är användbart när samma åtgärd måste tillämpas på flera meddelanden.
– när en fil visas i åtgärdsfältet skrivs de matchade meddelandena in i filen.
– det kan finnas andra enheter som FIFO, terminal etc för att skriva meddelanden till.– br> – om ett användarnamn listas i åtgärdsfältet skrivs de matchade meddelandena ut till användarna alla terminaler om de är inloggade.
– (*) i åtgärdsfältet anger
faciliteter
anläggningen används för att ange vilken typ av program eller program som genererar meddelandet. Således gör det möjligt för syslog demonen att hantera olika källor på olika sätt. Tabellen nedan visar standardfaciliteterna och deras beskrivning :
Facility | Description |
---|---|
auth/authpriv | security/authorization messages (private) |
cron | clock daemon (crond and atd messages) |
daemon | messages from system daemons without separate facility |
kern | kernel messages |
local0 – local7 | reserved for local use |
lpr | line printer subsystem |
messages from mail daemons | |
news | USENET nyheter delsystem |
syslog | meddelanden som genereras internt av systemloggdemon |
användare | allmänna meddelanden på användarnivå |
uucp | UUCP-delsystem |
prioritet
prioriteten för ett meddelande betyder vikten av det meddelandet. Tabellen nedan visar standardprioriteringarna och deras betydelser :
Priority | Description |
---|---|
emerg | system is unusable |
alert | action must be taken immediately |
crit | critical conditions |
err | error conditions |
warning | warning conditions |
notice | normal but significant importance |
info | informational messages |
debug | debugging messages |
Log Rotation
loggfiler växer regelbundet övertid och därför måste de trimmas regelbundet. Linux tillhandahåller ett verktyg för att tillhandahålla denna funktionalitet utan användarintervention. Logrotate-programmet kan användas för att automatisera loggfilrotationen. Den grundläggande logrotate-konfigurationen görs i konfigurationsfilen /etc/logrotate.conf. I konfigurationsfilen kan vi ställa in alternativ som – hur ofta loggar ska roteras och hur många gamla loggar som ska hållas.
# cat /etc/logrotate.confweeklyrotate 4createinclude /etc/logrotate.d/var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1}
enligt ovanstående logrotate konfigurationsfilen loggarna roteras varje vecka (döpa den befintliga loggen till filnamn.nummerordning):
minsize 1M-logrotate körs och trimmar meddelanden filer om filstorleken är lika med eller större än 1 MB.
rotera 4-Håll de senaste 4 filerna medan du roterar.
skapa-Skapa ny fil medan du roterar med specificerat tillstånd och ägande.
inkludera-inkludera de filer som nämns här för daemon specifika log rotation inställningar.
# ls -l /var/log/messages*-rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages-rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1-rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– logrotate-demonen läser huvudsakligen all konfiguration från file /etc/logrotate.conf och sedan innehåller daemon specifika konfigurationsfiler från / etc / logrotate.d / katalog.
– logrotate demonen tillsammans med rotation och borttagning av gamla loggar, tillåter komprimering av loggfiler.
– demonen körs dagligen från / etc / cron.dagligen / logrotat.
Logwatch
– RHEL-system levereras också med logwatch-paket.
– Logwatch används för att analysera loggarna för att identifiera några intressanta meddelanden.- Logwatch kan konfigureras för att analysera loggfiler från populära tjänster och e-postadministratör resultaten.
– det kan konfigureras på timme eller nattlig basis för någon misstänkt aktivitet. Som standard i ett RHEL-system körs det nattligt och rapporten skickas till root-användaren.