Unix / Linux - Systemprotokollierung

In diesem Kapitel werden wir uns ausführlich mit der Systemprotokollierung unter Unix befassen.

Unix-Systeme verfügen über ein sehr flexibles und leistungsstarkes Protokollierungssystem, mit dem Sie fast alles aufzeichnen können, was Sie sich vorstellen können, und dann die Protokolle bearbeiten können, um die gewünschten Informationen abzurufen.

Viele Unix-Versionen bieten eine allgemeine Protokollierungsfunktion namens syslog. Einzelne Programme, für die Informationen protokolliert werden müssen, senden die Informationen an syslog.

Unix Syslog ist eine vom Host konfigurierbare, einheitliche Systemprotokollierungsfunktion. Das System verwendet einen zentralisierten Systemprotokollierungsprozess, mit dem das Programm ausgeführt wird/etc/syslogd oder /etc/syslog.

Die Bedienung des Systemloggers ist recht unkompliziert. Programme senden ihre Protokolleinträge an syslogd , das die Konfigurationsdatei konsultiert/etc/syslogd.conf oder /etc/syslog und wenn eine Übereinstimmung gefunden wird, schreibt die Protokollnachricht in die gewünschte Protokolldatei.

Es gibt vier grundlegende Syslog-Begriffe, die Sie verstehen sollten:

Sr.Nr. Begriff & Beschreibung
1

Facility

Die Kennung, mit der die Anwendung oder der Prozess beschrieben wird, die bzw. der die Protokollnachricht gesendet hat. Zum Beispiel Mail, Kernel und FTP.

2

Priority

Ein Indikator für die Wichtigkeit der Nachricht. Ebenen werden in Syslog als Richtlinien definiert, vom Debuggen von Informationen bis zu kritischen Ereignissen.

3

Selector

Eine Kombination aus einer oder mehreren Einrichtungen und Ebenen. Wenn ein eingehendes Ereignis mit einem Selektor übereinstimmt, wird eine Aktion ausgeführt.

4

Action

Was passiert mit einer eingehenden Nachricht, die mit einem Selektor übereinstimmt? Aktionen können die Nachricht in eine Protokolldatei schreiben, die Nachricht an eine Konsole oder ein anderes Gerät zurücksenden, die Nachricht an einen angemeldeten Benutzer schreiben oder die Nachricht an einen anderen Syslog-Server senden.

Syslog-Einrichtungen

Wir werden jetzt die Syslog-Funktionen verstehen. Hier sind die verfügbaren Einrichtungen für den Selektor. Nicht alle Funktionen sind in allen Unix-Versionen vorhanden.

Einrichtung Beschreibung
1

auth

Aktivität im Zusammenhang mit der Anforderung von Name und Passwort (getty, su, login)

2

authpriv

Wie auth, jedoch in einer Datei protokolliert, die nur von ausgewählten Benutzern gelesen werden kann

3

console

Wird verwendet, um Nachrichten zu erfassen, die im Allgemeinen an die Systemkonsole gerichtet sind

4

cron

Nachrichten vom Cron-System-Scheduler

5

daemon

System-Daemon-Catch-All

6

ftp

Nachrichten zum FTP-Daemon

7

kern

Kernel-Nachrichten

8

local0.local7

Lokale Einrichtungen pro Standort definiert

9

lpr

Nachrichten vom Zeilendrucksystem

10

mail

Nachrichten zum Mailsystem

11

mark

Pseudoereignis zum Generieren von Zeitstempeln in Protokolldateien

12

news

Nachrichten zum Netzwerknachrichtenprotokoll (nntp)

13

ntp

Nachrichten zum Netzwerkzeitprotokoll

14

user

Regelmäßige Benutzerprozesse

15

uucp

UUCP-Subsystem

Syslog-Prioritäten

Die Syslog-Prioritäten sind in der folgenden Tabelle zusammengefasst:

Sr.Nr. Priorität & Beschreibung
1

emerg

Notfallzustände wie ein bevorstehender Systemabsturz werden normalerweise an alle Benutzer gesendet

2

alert

Bedingung, die sofort korrigiert werden sollte, z. B. eine beschädigte Systemdatenbank

3

crit

Kritischer Zustand, z. B. ein Hardwarefehler

4

err

Gewöhnlicher Fehler

5

Warning

Warnung

6

notice

Bedingung, die kein Fehler ist, aber möglicherweise auf besondere Weise behandelt werden sollte

7

info

Informationsnachricht

8

debug

Nachrichten, die beim Debuggen von Programmen verwendet werden

9

none

Pseudo-Ebene, mit der angegeben wird, dass keine Nachrichten protokolliert werden sollen

Durch die Kombination von Einrichtungen und Ebenen können Sie erkennen, was protokolliert wird und wohin diese Informationen gehen.

Da jedes Programm seine Nachrichten pflichtbewusst an den Systemlogger sendet, trifft der Logger anhand der im Selektor definierten Ebenen Entscheidungen darüber, was verfolgt und was verworfen werden soll.

Wenn Sie eine Ebene angeben, verfolgt das System alles auf dieser Ebene und höher.

Die Datei /etc/syslog.conf

Das /etc/syslog.confDateisteuerungen, bei denen Nachrichten protokolliert werden. Ein typischersyslog.conf Datei könnte so aussehen -

*.err;kern.debug;auth.notice /dev/console
daemon,auth.notice           /var/log/messages
lpr.info                     /var/log/lpr.log
mail.*                       /var/log/mail.log
ftp.*                        /var/log/ftp.log
auth.*                       @prep.ai.mit.edu
auth.*                       root,amrood
netinfo.err                  /var/log/netinfo.log
install.*                    /var/log/install.log
*.emerg                      *
*.alert                      |program_name
mark.*                       /dev/console

Jede Zeile der Datei enthält zwei Teile -

  • EIN message selectorDas gibt an, welche Art von Nachrichten protokolliert werden sollen. Zum Beispiel alle Fehlermeldungen oder alle Debugging-Meldungen vom Kernel.

  • Ein action fielddas sagt, was mit der Nachricht zu tun ist. Legen Sie es beispielsweise in eine Datei oder senden Sie die Nachricht an das Terminal eines Benutzers.

Im Folgenden sind die bemerkenswerten Punkte für die obige Konfiguration aufgeführt:

  • Nachrichtenselektoren bestehen aus zwei Teilen: a facility und a priority. Beispielsweise wählt kern.debug alle Debug-Meldungen (die Priorität) aus, die vom Kernel (der Einrichtung) generiert werden.

  • Die Nachrichtenauswahl kern.debug wählt alle Prioritäten aus, die größer als das Debuggen sind.

  • Ein Sternchen anstelle der Einrichtung oder der Priorität zeigt "alle" an. Zum Beispiel,*.debug bedeutet alle Debug-Meldungen, während kern.* bedeutet alle vom Kernel generierten Nachrichten.

  • Sie können auch Kommas verwenden, um mehrere Funktionen anzugeben. Zwei oder mehr Selektoren können mithilfe eines Semikolons gruppiert werden.

Protokollierungsaktionen

Das Aktionsfeld gibt eine von fünf Aktionen an -

  • Protokollnachricht in einer Datei oder einem Gerät. Zum Beispiel,/var/log/lpr.log oder /dev/console.

  • Senden Sie eine Nachricht an einen Benutzer. Sie können mehrere Benutzernamen angeben, indem Sie sie durch Kommas trennen. Zum Beispiel root, amrood.

  • Senden Sie eine Nachricht an alle Benutzer. In diesem Fall besteht das Aktionsfeld aus einem Sternchen. zum Beispiel, *.

  • Leiten Sie die Nachricht an ein Programm weiter. In diesem Fall wird das Programm nach dem Unix-Pipe-Symbol (|) angegeben.

  • Senden Sie die Nachricht an das Syslog auf einem anderen Host. In diesem Fall besteht das Aktionsfeld aus einem Hostnamen, dem ein at-Zeichen vorangestellt ist. Zum Beispiel @ tutorialspoint.com.

Der Logger-Befehl

Unix bietet die loggerBefehl, der ein äußerst nützlicher Befehl für die Systemprotokollierung ist. Daslogger Der Befehl sendet Protokollierungsnachrichten an den syslogd-Dämon und provoziert folglich die Systemprotokollierung.

Dies bedeutet, dass wir jederzeit über die Befehlszeile überprüfen können syslogdDaemon und seine Konfiguration. Der Befehl logger bietet eine Methode zum Hinzufügen einzeiliger Einträge zur Systemprotokolldatei über die Befehlszeile.

Das Format des Befehls ist -

logger [-i] [-f file] [-p priority] [-t tag] [message]...

Hier ist das Detail der Parameter -

Sr.Nr. Option & Beschreibung
1

-f filename

Verwendet den Inhalt der Datei Dateiname als zu protokollierende Nachricht.

2

-i

Protokolliert die Prozess-ID des Logger-Prozesses mit jeder Zeile.

3

-p priority

Gibt die Nachricht mit der angegebenen Priorität ein (angegebener Selektoreintrag); Die Nachrichtenpriorität kann numerisch oder als Facility.priority-Paar angegeben werden. Die Standardpriorität ist user.notice.

4

-t tag

Markiert jede dem Protokoll hinzugefügte Zeile mit dem angegebenen Tag.

5

message

Die Zeichenfolgenargumente, deren Inhalt in der angegebenen Reihenfolge miteinander verbunden ist, getrennt durch das Leerzeichen.

Sie können die Manpage-Hilfe verwenden , um die vollständige Syntax für diesen Befehl zu überprüfen.

Protokollrotation

Protokolldateien neigen dazu, sehr schnell zu wachsen und viel Speicherplatz zu verbrauchen. Um Protokollrotationen zu aktivieren, verwenden die meisten Distributionen Tools wienewsyslog oder logrotate.

Diese Tools sollten in einem häufigen Zeitintervall mit dem aufgerufen werden cron daemon. Überprüfen Sie die Manpages auf Newsyslog oder Logrotate für weitere Details.

Wichtige Protokollpositionen

Alle Systemanwendungen erstellen ihre Protokolldateien in /var/logund seine Unterverzeichnisse. Hier sind einige wichtige Anwendungen und ihre entsprechenden Protokollverzeichnisse -

Anwendung Verzeichnis
httpd / var / log / httpd
Samba / var / log / samba
cron / var / log /
Mail / var / log /
MySQL / var / log /