- •Процесс init
- •Системы, наследующие bsd
- •Системы со смешанной схемой загрузки
- •Системные службы
- •Какие бывают службы
- •Служба планирования заданий
- •Запуск программ
- •Сетевые службы
- •Пример 3.4. Пример файла /etc/syslog.Conf
- •Основные системные журналы
- •Ротация системных журналов
- •Мониторинг пользователей
Пример 3.4. Пример файла /etc/syslog.Conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none; /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* /var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
Данная конфгурация подразумевает вывод всех сообщений ядра в терминал пользователей, сообщения, связанные с почтой, сохранять в файле /var/log/maillog, связанные с аутентификацией, — в файле /var/log/secure, сообщения планировщика заданий — в файле /var/log/cron, тогда как все остальные сообщения отравлять в файл /var/log/messages.
В файлах журналов собощение записывается вместе со всеми параметрами в простом текстовом виде, что позволяет применять стандартные для UNIX механизмы поиска по текстовым файлам (например, grep) и упрощает процесс анализа событий.
Основные системные журналы
Презентация 7-09: основные системные службы
В UNIX-системах принято располагать все файлы журналов в каталоге /var/log и его подкаталогах. Во многих UNIX-системах можно обнаружить системные журналы со следующими названиями:
authlog / security
этот файл хранит сообщения, связанные с аутентификацией пользователей, ошибками входа в систему, изменением уровня доступа и т.д. (хранит в том числе сообщения с типом AUTH);
daemon
файл с сообщениями от системных служб (хранит сообщения с типом DAEMON);
dmesg
в Linux-системах в файле с таким именем обычно хранятся сообщения от ядра.
maillog / mail
сообщения о получении и доставке писем, этот журнал обычно ведётся почтовым сервером (хранит в том числе сообщения с типом MAIL);
messages
в этом файле обычно хранятся все сообщения, не попавшие в другие файлы журналов;
xferlog
здесь содержатся записи обо всех файлах, загруженных с данной машины (обычно актуально для FTP-серверов).
Некоторые системные службы (такие как веб-сервер Apache) имеют свои собственные файлы журналов. Располагаются они обычно в подкаталогах /var/log, например /var/log/apache/.
Ротация системных журналов
Презентация 7-10: ротация системных журналов
Файлы журналов преставляют собой простые текстовые файлы, в конец которых добавляются новые поступающие сообщения. Как правило, администратора интересует информация о событиях, произошедших не так давно относительно текущего момента — искать информацию в многомегабайтном журнале за последний год не так просто. Кроме того, при увеличении размеров файлов журналов они могут теоретически занять все свободное место на диске, так что администратору придётся очищать их время от времени.
Для решения этих проблем используется так называемая ротация журналов: процесс автоматического обновления файлов журналов — удаления и архивация старых файлов и создание новых.
Для каждого из файлов журнала можно задать следующее:
-
как часто производить ротацию (обновлять файл журнала);
-
как долго хранить старые файлы журналов;
-
производить ли сжатие старых файлов;
-
выполнять ли дополнительные действия при обновлении журнала.
Журнал может обновляться по времени (например, раз в неделю или раз в месяц) или по объёму (например, при достижении размера в 1 Мб). При этом старый файл журнала сохраняется с именем имя_журнала.0, а все предыдущие версии журналов (за позапрошлую неделю и т.п.) переименовываются с увеличением числа на единицу. Например:
desktop ~ # ls -l /var/log/authlog*
-rw-r----- 1 root wheel 47986 Feb 6 15:56 /var/log/authlog
-rw-r----- 1 root wheel 77783 Feb 6 03:00 /var/log/authlog.0.gz
-rw-r----- 1 root wheel 25395 Jan 30 03:00 /var/log/authlog.1.gz
-rw-r----- 1 root wheel 46940 Jan 23 03:00 /var/log/authlog.2.gz
-rw-r----- 1 root wheel 166844 Jan 16 03:00 /var/log/authlog.3.gz
-rw-r----- 1 root wheel 68078 Jan 9 03:00 /var/log/authlog.4.gz
-rw-r----- 1 root wheel 45941 Jan 2 03:00 /var/log/authlog.5.gz
-rw-r----- 1 root wheel 95279 Dec 26 03:00 /var/log/authlog.6.gz
-rw-r----- 1 root wheel 34083 Dec 19 03:00 /var/log/authlog.7.gz
В данном примере журналы аутентификации хранятся в течение восьми недель, при этом все старые файлы сжимаются. Сжатие может быть очень полезно для экономии места на диске.
Некоторые приложения требуют явного оповещения при обновлении файла журнала. Поэтому программы ротации обычно предоставляют возможность запуска утилиты до или после проведения обновления.
В операционной системе Linux для ротации журналов используется программа logrotate. В других UNIX-системах используются аналогичные, часто встроенные средства.