9.5. syslog Systemhändelser

9.5. `syslog` Systemhändelser

9.5.1. Princip och mekanism

rsyslogd-demonen är ansvarig för att samla in tjänstemeddelanden från program och kärnan, och sedan vidarebeforda dem till loggfiler (vanligen lagrad i katalogen /var/log/). Den följer konfigurationsfilen /etc/rsyslog.conf.

Varje loggmeddelande är associerart med ett programsubsystem (kallad ”facillity” i dokumentationen):

auth och authpriv: för autentisering;
cron: kommer från schemaläggartjänster, cron och atd;
daemon: påverkar en demon utan speciell klassifikation ( DNS, NTP och så vidare);
ftp:gäller FTP-servern;
kern: meddelanden från kärnan;
lpr: kommer från underliggande utskriftssystem;
mail: kommer från undersystemet för e-post;
news: Meddelanden från Usenet (speciellt från NNTP — Network News Transfer Protocol — server som hanterar nyhetsgrupper);
syslog: meddelanden från själva syslogd-servern;
user: användarmeddelanden (generiska);
uucp: meddelanden från UUCP-servern (Unix to Unix Copy Program, ett gammalt protokoll använt för att distribuera e-postmeddelanden);
local0 till local7: reserverad för lokal användning.

Varje meddelande är också associerad med en prioritetsnivå. Här är listan i sjunkande ordning:

emerg: “Hjälp!” Det är akut, systemet är förmodligen instabilt.
alert: skynda på, det kan vara farligt att vänta, utför något så fort du kan;
crit: villkoren är kritiska;
err: fel;
warn: varning (potentiellt fel);
notice: allt normalt, men meddelandet är viktigt;
info: informativt meddelande;
debug: meddelande för felsökning.

9.5.2. Konfigurationsfilen

The syntax of the /etc/rsyslog.conf file is detailed in the rsyslog.conf(5) manual page, but there is also HTML documentation available in the rsyslog-doc package (/usr/share/doc/rsyslog-doc/html/index.html). The overall principle is to write “selector” and “action” pairs. The selector defines all relevant messages, and the action describes how to deal with them.

9.5.2.1. Syntaxen för väljaren

Väljaren är en semikolonseparerad lista av subsystem.priority-pard (exempel: auth.notice;mail.info). En asterisk kan representera att subsystem eller alla proriteter (exempel: *.alert eller mail.*). Flera subsystem kan grupperas genom att separera dem med ett komma (exempel: auth,mail.info). Indikerade prioritet täcker också meddelanden av högre eller lika prioritet; sålunda indikerar auth.alert auth subsystemmeddelanden för prioriteterna alert eller emerg. Prefixad med ett utropstecken (!) indikerare det de motsatta, lägre prioriteter; auth.!notice,indikerar exempelvis auth, med prioritet info eller debug. Prefix med lika med-tecken (=) motsvara precis indikerad prioritet (auth.=notice bryr sig bara om meddelanden från auth med prioritet notice).

Varje element i väljarens lista åsidosätter tidigare element. Det är därför möjligt att begränsa en mängd eller att exkludera vissa element från den. Exempelvis betyder kern.info;kern.!err meddelanden från kärnan med prioritet info och warn. Prioriteten none indikerar den tomma mängden (inga prioriteter), och kan tjäna till att exkludera ett subsystem från en meddelandemängd. Sålpnda indikerar *.crit;kern.none alla meddelanden av prioritet lika eller högre än crit som inte kommer från kärnan.

9.5.2.2. Åtgärdssyntax

GRUNDLÄGGANDE Namngivet rör, ett beständigt rör

Ett namngivet rör är en speciell typ av fil som fungerar likt ett traditionell rör( röret som du skapar med symbolen ”i” på kommandoraden), men via en fil. Denna mekanism har fördelen av att kunna koppla ihop två orelaterade processer. Det som skrivs till en namngivet rör blockerar processen som skriver till en annan process försöker att läsa datan som skrevs. Denna andra process läser datan skriven av den första, som sedan kan fortsätta exekvering.

En sådan fil skapas med kommandot mkfifo.

Möjliga åtgärder är:

lägg till meddelandet till en fil (exempel: /var/log/messages);
skicka meddelandet till en fjärrserver syslog (exempelvis: @log.falcot.com);
skicka meddelandet till ett befintligt namngivet rör (exempel: |/dev/xconsole);
skicka meddelandet till en eller flera användare om de är inloggade (exempel: root,rhertzog);
skicka meddelandet till alla inloggade användare (exempel: *);
skriv meddelandet i en textkonsol (exempel: : /dev/tty8).

SÄKERHET Vidarebefodra loggar

Det är en bra ide att spara de viktigaste loggarna på separata maskiner (kanske dedikerat för detta syfte) eftersom detta kommer att hindra möjliga inkräktare från att ta bort spår av intrång (om inte de också komprometerat denna andra server). Om ett sådant större problem uppstår (som att kärnan kraschar) har du loggarna tillgängliga på en annan maskin, vilket ökar dina chanser att avgöra händelsekedjan som ledde fram till kraschen.

För att acceptera loggmeddelanden från andra maskiner måste du konfigurera om rsyslog:i praktiken räcker det med att aktivera posterna för-användning i /etc/rsyslog.conf ($ModLoad imudp och $UDPServerRun 514).