日誌的工作原理及配置
syslog
syslog同closelog、openlog共同給system logger發送消息
Linux由許多子系統構成,例如網絡、內存文件訪問等,這些子系統需要給用戶發送一些消息,這些消息內容包括消息的來源及重要性等。所有的子系統都會把消息發送到一個可以維護的公用區域,於是就有了syslog程序。
syslog負責接收消息,這些消息包含了內核和程序產生的錯誤信息、警告信息及其他信息。並把這些消息發送到日誌文件中,如/var/log/messages.一些重要信息也會顯示在用戶的窗口上。
syslog有兩個重要文件:syslogd和syslog.conf
syslog能夠接受訪問系統的日誌信息並且根據“/etc/syslog.conf”配置文件中的指令處理這些信息。守護進程和內核提供了訪問系統的日誌信息。所有的希望生成日誌信息的程序都可以向syslog接口請求生成該信息。
syslog守護進程
Linux由許多子系統組成的,在後臺中由許多daemon程序運行,這些程序處理一些日常的工作。每一個子系統發出日誌消息的時候都會給消息指定一個類型。一個消息分成兩部分:“設備”和“級別”,“設備”標識發出消息的子系統,可以把同一類型的消息組合在一起,“級別”標識消息的重要程度,其範圍從debug(最不重要)到emerg(最重要),設備和級別組合起來稱爲priority。
syslog在後臺運行,並把消息從日誌區轉移到日誌文件中。
syslog.conf文件
這個文件告訴了syslog程序如何根據消息的來源和級別來報告消息
該文件使用如下形式
factility.level action
syslog.conf的第一列facility。level用來指定日誌功能和日誌級別,中間用.隔開,可以使用*來匹配所有的日誌功能和日誌的級別。第二列action是消息的分發目標。
facility.levle字段也被稱爲選擇域(seletor)
facility指定syslog功能,主要包括一下這些:
auth 由pam_pwdb報告的認證活動。
authpriv包括特權信息如用戶在內的認證活動
cron 與cron和at有關的信息
daemon 與inetd守護進程有關的信息
kern 內核信息,首先通過klogd傳遞、
lpr 與打印服務有關的信息
mail 與電子郵件有關的信息
mark syslog內部功能用於生成時間戳
news 來自新聞服務器的信息
syslog 由syslog生成的信息
user 由用戶程序生成的信息
uucp 由uucp生成的信息
local0---local7 與自定義程序使用,例如使用local5作爲ssh功能
* 通配符代表除了mark以外的所有功能
level 級別,決定消息的重要性
每個功能對應的優先級是按一定的順序排列的,emerg是最高級,其次是alert,以此類推。缺省時,在/etc/syslog.conf記錄中指定的級別爲該級別和更高的級別。如果希望使用確定的級別可以使用兩個運算符號!(不等)和=。
例:user.=info 表示告知syslog接受所有的在info級別上的user功能信息。
下面的等級重要性逐級遞減:
emerg 系統不可用
alert 需要立即被修改的條件
crit 阻止某些工具或子系統功能實現的錯誤條件
err 阻止工具或某些子系統實現的錯誤條件
warning 預警信息
notice 具有重要性的普通條件
info 提供信息的消息
debug 不包含函數條件或問題的其他信息
none 沒有重要級別,通常用於拍錯
* 所有級別,除了none
action 字段作爲動作域,所表示的活動具有許多靈活性,特別是,可以使用名稱管道的作用是可以使syslog生成後處理信息。
syslog主要支持以下活動:
file 將信息追加到指定的文件尾
terminal 完全的串行或並行設別標誌符
@host 遠程的日誌服務器
username 將消息寫到指定的用戶
named pipe 指定使用mkfifo命令來創建FIFO文件的絕對路徑
* 將消息寫到所有的用戶
選擇域指明消息的類型和優先級;動作域指明syslog接收到一個與選擇標準相匹配的消息時所執行的動作。每個選項是由設備和優先級組成。當指明一個優先級時,syslog將記錄一個擁有相同或更高優先級的消息。比如如果指明"crit",則所有標誌爲crit、alert和emerg的消息將被記錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到什麼地方。
klogd 守護進程
klog是一個從UNIX內核接受消息的設備
klogd
守護進程獲得並記錄 Linux 內核信息。通常,syslogd 會記錄 klogd
傳來的所有信息。也就是說,klogd會讀取內核信息,並轉發到syslogd進程。然而,如果調用帶有 -f filename 變量的 klogd
時,klogd 就在 filename 中記錄所有信息,而不是傳給 syslogd。當指定另外一個文件進行日誌記錄時,klogd
就向該文件中寫入所有級別或優先權。Klogd 中沒有和 /etc/syslog.conf 類似的配置文件。使用 klogd 而避免使用
syslogd 的好處在於可以查找大量錯誤。
日誌管理及日誌保護
logrotate程序用來幫助用戶管理日誌文件,它以自己的守護進程工作。logrotate週期性地旋轉日誌文件,可以週期性地把每個日誌文件重命名
成一個備份名字,然後讓它的守護進程開始使用一個日誌文件的新的拷貝。在/var/log/下產生如maillog、maillog.1、
maillog.2、boot.log.1、boot.log.2之類的文件。它由一個配置文件驅動,該文件是
/etc/logroatate.conf。
以下是logroatate.conf文件例子:
# see "man logrotate" for details
# rotate log files weekly
weekly
#以7天爲一個週期
# keep 4 weeks worth of backlogs
rotate 4
#每隔4周備份日誌文件
# send errors to root
errors root
#發生錯誤向root報告
# create new (empty) log files after rotating old ones
create
#轉完舊的日誌文件就創建新的日誌文件
# uncomment this if you want your log files compressed
#compress
#指定是否壓縮日誌文件
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own lastlog or wtmp -- we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}
在網絡應用中,有一種保護日誌的方式,在網絡中設定一臺祕密的syslog主機,把這臺主機的網卡設爲混雜模式,用來監聽子網內所有的syslog包,這
樣把所有需要傳送日誌的主機配置爲向一臺不存在的主機發送日誌即可。這樣即使***攻陷了目標主機,也無法通過syslog.conf文件找到備份日誌的主
機,那只是一個不存在的主機。實際操作中還可以輔以交換機的配置,以確保syslog包可以被備份日誌主機上的syslog進程接受到。比如把
syslog.conf中的傳送日誌主機設爲
@192.168.0.13,但實際網絡中不存在這個日誌主機,實際可能是192.168.0.250或者其他主機正在接受syslog包。