Vyatta_BasicSystem_rus[1]
.pdfsystem login user <user> full-name <name>
Позволяет вам задать полное имя пользователя.
Синтаксис
set system login user user full-name name delete system login user user full-name show system login user user full-name
Режим команды
Конфигурационный режим.
Конфигурационная формулировка
system { login {
user text {
|
|
full-name text |
} |
} |
|
|
||
} |
|
|
Параметры |
|
|
|
user |
Обязательный. Уникальный идентификатор (ID) пользователя, |
|
|
содержащий до 32 символов, включая буквенно-цифровые и |
|
|
дефисы. |
|
name |
Обязательный. Строка, представляющая имя пользователя. Она |
|
|
включает буквенно-цифровые символы, пробелы и дефисы. Строка, |
|
|
содержащая пробелы, должна быть заключена в двойные кавычки. |
По умолчанию
Нет.
Указания по применению
Используйте эту команду, чтобы записать полное имя пользователя. Используйте форму set этой команды, чтобы определить имя пользователя Используйте форму delete этой команды, чтобы удалить имя пользователя. Используйте форму show этой команды, чтобы увидеть имя пользователя.
111
system login user <user> level <level>
Определяет для пользователя уровень привилегий и доступа к системе.
Синтаксис
set system login user user level level delete system login user user level show system login user user level
Режим команды
Конфигурационный режим.
Конфигурационная формулировка
system { login {
user text {
|
|
level [admin | operator] |
} |
} |
|
|
||
} |
|
|
Параметры |
|
|
|
user |
Обязательный. Уникальный идентификатор (ID) пользователя, |
|
|
содержащий до 32 символов, включая буквенно-цифровые и |
|
|
дефисы. |
|
level |
Определяет уровень привилегий пользователя. |
|
|
admin: Назначает пользователю административные привилегии. |
|
|
Пользователь может выполнять любую команду в интерфейсе |
|
|
Vyatta CLI или в нижележащей операционной системе. |
|
|
operator: Назначает пользователю ограниченные привилегии. |
|
|
Пользователь может выполнять операционные команды в |
|
|
интерфейсе Vyatta CLI, плюс ограниченную форму команд ping |
|
|
и traceroute. Пользователь не может перейти в конфигурационный |
|
|
режим или выполнять конфигурационные команды. |
По умолчанию
По умолчанию пользователям назначаются административные привилегии.
Указания по применению
Используйте эту команду, чтобы назначить пользователю доступ к системе, базирующийся на его роли.
Система поддерживает три системных роли:
•Роль корневого пользователя (Root user). Корневой пользователь имеет полный доступ ко всем командам Vyatta и плюс к этому доступ ко всем командам оболочки операционной системы. Доступ к командам оболочки операционной системы является непосредственным: корневому пользователю не нужно выходить в какую-то другую оболочку или в другой режим перед выполнением этих команд. Командные завершения и помощь CLI показывают все команды и файлы, включая команды и файлы оболочки операционной системы. В настоящее время существует ровно один пользователь с ролью корневого пользователя, это пользователь с именем root. Пользователь root не может быть удален, и вы не можете создать другого пользователя, обладающего привилегиями корневого пользователя. Вы не можете изменить для пользователя root уровень доступа.
•Роль административного пользователя (Admin user). Пользователи, которым назначена роль администратора, имеют полный доступ к специфичным командам Vyatta и плюс к этому доступ ко всем командам оболочки операционной системы. Доступ к командам оболочки операционной системы является непосредственным: пользователю не нужно выходить в какую-то другую оболочку или в другой режим перед выполнением этих команд. Пользователи с ролью администратора имеют более ограниченный вид на систему, чем пользователь root: хотя пользователь с ролью
112
администратора может выполнять любую команду, реализованную в системе, командные завершения и помощь CLI показываются только для команд Vyatta.
•Роль пользователя-оператора (Operator user). Пользователи, которым назначена роль оператора, имеют доступ к операционным командам Vyatta, но не к конфигурационным командам. Они также имеют ограниченный доступ к командам оболочки операционной системы. В настоящее время командные завершения и помощь CLI показывают все команды Vyatta для
всех пользователей с ролью оператора.
Используйте форму set этой команды, чтобы задать для пользователя уровень привилегий.
Используйте форму delete этой команды, чтобы восстановить для пользователя уровень привилегий, назначаемый по умолчанию.
Используйте форму show этой команды, чтобы увидеть конфигурацию привилегий пользователя.
113
show users
Показывает, какие пользователи в настоящее время зарегистрированы на системе.
Синтаксис
show users
Режим команды
Операционный режим.
Параметры
Нет.
По умолчанию
Нет.
Указания по применению
Используйте эту команду, чтобы увидеть, какие пользователи в настоящее время зарегистрированы на системе.
114
Глава 4: Протоколирование
Вэтой главе описывается механизм протоколирования (ведения регистрационных записей – logging) системы Vyatta.
Вэтой главе обсуждается следующие темы:
•Конфигурирование протоколирования
•Команды протоколирования
Конфигурирование протоколирования
Вэтом разделе представлены следующие темы:
•Обзор протоколирования
•Пример конфигурации протоколирования
•Включение и выключение протоколирования для специфичных функциональных
возможностей
Обзор протоколирования
Существенные события системы фиксируются с помощью регистрационных сообщений (также называемых сообщениями syslog), которые вы можете просмотреть на консоли, сохранить в файл или ретранслировать на внешний сервер, такой как сервер syslog, или непосредственно в терминальную сессию одного или более конкретных пользователей.
В зависимости от уровня серьезности сообщения вы можете делать выбор о его регистрации.
Регистрационное сообщение системы может включать извещения об обычных и программных операциях, а также предупреждения, сообщения об отказах и ошибках.
Функции протоколирования системы Vyatta применяют процесс UNIX syslogd. Конфигурация протоколирования, выполненная через системный интерфейс CLI, сохраняется в файле /etc/sylogd.conf.
По умолчанию задействовано локальное протоколирование и сообщения посылаются в файл
/var/log/messages.
Протоколируемые средства
Система Vyatta поддерживает стандартные для syslog средства (facilities), сообщения от которых протоколируются. Они перечислены в следующей таблице:
Таблица 4-1 Средства Syslog
Средство |
Описание |
|
|
auth |
Аутентификация и авторизация (Authentication and authorization) |
|
|
authpriv |
Несистемная авторизация (Non-system authorization) |
|
|
cron |
Системный планировщик - Демон cron (Cron daemon) |
|
|
daemon |
Системные демоны (System daemons) |
|
|
kern |
Ядро (Kernel) |
|
|
lpr |
Спулер линейного принтера (Line printer spooler) |
|
|
115
Постовая система (Mail subsystem) |
|
|
|
mark |
Отметка времени (Timestamp) |
|
|
news |
Подсистема USENET (USENET subsystem) |
|
|
security |
Подсистема безопасности (Security subsystem) |
|
|
syslog |
Система протоколирования (System logging) |
|
|
user |
Прикладные процессы (Application processes) |
|
|
uucp |
Подсистема UUCP (UUCP subsystem) |
|
|
local0 |
Локальное средство 0 (Local facility 0) |
|
|
local1 |
Локальное средство 1 (Local facility 1) |
|
|
local2 |
Локальное средство 2 (Local facility 2) |
|
|
local3 |
Локальное средство 3 (Local facility 3) |
|
|
local4 |
Локальное средство 4 (Local facility 4) |
|
|
local5 |
Локальное средство 5 (Local facility 5) |
|
|
local6 |
Локальное средство 6 (Local facility 6) |
|
|
local7 |
Локальное средство 7 (Local facility 7) |
|
|
all |
Все средства, исключая “mark” |
|
|
Кроме того, протоколирование может быть задействовано селективно для некоторых специфичных компонентов маршрутизации. Дополнительную информацию по этому вопросу вы можете найти в разделе “Включение и выключение протоколирования для специфичных функциональных возможностей” на странице 118.
Пункты назначения передачи регистрационных сообщений
Когда протоколирование задействовано, регистрационные сообщения системы всегда записываются в файл messages каталога /var/log локальной файловой системы. Кроме того, регистрационные сообщения могут посылаться на консоль, в поименованный файл в локальной файловой системе, на сервер, выполняющий утилиту syslogd (то есть на сервер syslog), в терминальную сессию одного или более конкретных пользователей.
•Для направления регистрационных сообщений на консоль, используйте команду system syslog console.
•Для направления регистрационных сообщений в поименованный файл локальной файловой системы, используйте команду system syslog file.
•Для направления регистрационных сообщений на удаленную машину, выполняющую утилиту syslogd, используйте команду system syslog host.
•Для направления регистрационных сообщений на терминал конкретного пользователя или на терминалы всех пользователей, зарегистрированных на работающей платформе, используйте команду system syslog user.
Расположение регистрационного файла и архивирование
Сообщения записываются либо в основной регистрационный файл (main log file), что является местом записи по умолчанию, либо в файл, который вы определите. Определяемые пользователем
регистрационные файлы записываются в каталог /var/log/user под определяемым пользователем именем файла (user-specified file name).
Система использует стандартную для UNIX ротацию регистрационных файлов, которая предотвращает файловую систему от переполнения регистрационными файлами. Когда регистрационные сообщения
116
записываются в файл, система будет писать до 500 KB регистрационных сообщений в файл logfile, где logfile – это либо основной регистрации файл (main log file), либо файла с именем, определяемым пользователем. Когда logfile достигает своего максимального размера, система закрывает его и сжимает его в файл архивирования. Файл архивирования называется logfile.0.gz.
В этот момент утилита протоколирования открывает новый файл logfile и начинает писать в него сообщения системы. Когда новый регистрационный файл заполняется, первый файл архивирования переименовывается в logfile.1.gz и новый файл архивирования называется logfile.0.gz.
Система архивирует регистрационные файлы подобным образом до тех пор, пока не достигнет максимального количества регистрационных файлов. По умолчанию максимальное количество регистрационных файлов равно 10. Это значит, что по умолчанию процесс доходит до logfile.9.gz, a файл logfile.0.gz всегда представляет самый последний файл. После этого самый старый файл архивирования удаляется и перезаписывается следующим старейшим файлом.
Для изменения свойств архивирования регистрационных файлов необходимо сконфигурировать узел system syslog archive:
•Используйте параметр size, чтобы определить максимальный размер каждого регистрационного файла.
•Используйте параметр files, чтобы определить максимальное количество поддерживаемых файлов архивирования.
Серьезность регистрационных сообщений
Системные события порождают регистрационные сообщения различной серьезности, которая представляет уровень важности сообщений для системы.
Когда вы конфигурируете уровень серьезности (severity level) для syslog, система фиксирует регистрационные сообщения этого уровня серьезности и более высоких уровней. Чем меньше определенный уровень серьезности, тем больше деталей фиксируется в регистрационных файлах. Например, если вы конфигурируете уровень серьезности crit, то система фиксирует регистрационные сообщения, уровень серьезности которых crit, alert и emerg.
В настоящее время регистрационная серьезность конфигурируема только для определяемых пользователем регистрационных файлов. Основной регистрационный файл (main log file) в
/var/log/messages фиксирует регистрационные сообщения серьезности warning и выше.
Регистрационные сообщения, генерируемые системой Vyatta, будут ассоциироваться с одним из следующих уровней серьезности.
Таблица 4-2 Серьезность сообщений Syslog
Серьезность |
Описание |
|
|
emerg |
Чрезвычайная ситуация (Emergency). Произошел общий системный отказ или |
|
другой серьезный сбой такой, что система стала непригодной для |
|
использования. |
|
|
alert |
Тревога (Alert). Требуется немедленное действие для предотвращения |
|
системы от того, что она станет непригодной, например, из-за отказа сетевого |
|
канала или база данных стала скомпрометированной. |
|
|
crit |
Критическая ситуация (Critical). Существует критическое положение, такое как |
|
исчерпание ресурса, например, у системы закончилась память, превышены |
|
пределы возможностей обработки CPU или произошел аппаратный отказ. |
|
|
err |
Ошибка (Error). Произошло ошибочное состояние, такое как неудавшийся |
|
системный вызов. Однако система все ещё остается функционирующей. |
|
|
warning |
Предупреждение (Warning). Произошло событие, которое потенциально |
|
может вызвать ошибку, такое как передача функции недействительных |
|
параметров. За такой ситуацией нужно наблюдать. |
|
|
117
notice |
Извещение (Notice). Произошло нормальное, но существенное событие, такое |
|
как неожиданный результат. Это не ошибка, но потенциально могло бы |
|
потребовать внимания. |
|
|
info |
Информационная ситуация (Informational). О нормальных событиях, которые |
|
представляют интерес, сообщается, когда они происходят. |
|
|
debug |
Отладочного уровня (Debug level). Предоставляется информация |
|
трассировочного уровня. |
|
|
|
ОСТОРОЖНО Риск деградации сервиса. Серьезность уровня debug потребляет очень |
|
много ресурсов системы. Установка уровня debug для протоколирования может |
|
воздействовать на производительность системы. |
Пример конфигурации протоколирования
Пример 4-1 создает регистрационный файл, в котором фиксируются связанные с ядром (kernel) сигналы тревоги критического (critical) уровня серьезности и выше.
Для создания регистрационного файла, в котором фиксируются связанные с ядром сигналы тревоги критического уровня серьезности, выполните следующие шаги в конфигурационном режиме:
Пример 4-1 Конфигурирование протоколирования для фиксации связанных с ядром сигналов
тревоги критического уровня серьезности и выше
Шаг |
Команда |
Создать регистрационный |
vyatta@R1# set system syslog file kernel-log facility |
файл, называемый “kernel-log”, |
kern level crit |
и протоколировать сообщения |
[edit] |
ядра с уровнем серьезности |
|
“critical” и выше. |
|
Запустить конфигурацию. |
vyatta@R1# commit |
|
Restarting system log daemon.... |
|
[edit] |
|
vyatta@R1# |
Затем в операционном режиме может быть использована команда “show log file kernel-log”, чтобы отобразить содержимое протокола в регистрационном файле kernel-log.
Включение и выключение протоколирования для специфичных функциональных возможностей
Некоторые функциональные возможности (features) маршрутизатора Vyatta (например, BGP, OSPF и IPsec VPN) производят специфичные для функциональной возможности регистрационные сообщения,
фиксация которых может быть включена или выключена в конфигурационном узле для соответствующей функциональной возможности. Когда вы включаете протоколирование для функциональной возможности системы, регистрационные сообщения посылаются в любое место, сконфигурированное для syslog.
По умолчанию регистрационные сообщения посылаются в основной регистрационный файл (main log file). Однако вы можете сконфигурировать syslog так, чтобы регистрационные сообщения посылались в определяемый вами файл в /var/user.
118
Команды протоколирования
В этом параграфе описываются следующие команды.
Конфигурационные команды
system syslog
system syslog console facility <facility> level <level>
system syslog file <filename> archive
system syslog file <filename> facility
<facility> level <level> system syslog global archive
system syslog global facility <facility> level
<level>
system syslog host <hostname> facility
<facility> level <level>
system syslog user <userid> facility
<facility> level <level>
Операционные команды
delete log file
show log
show log directory show log tail
Конфигурирует системную утилиту syslog. Определяет, какие сообщения посылаются на консоль.
Определяет для определяемого пользователем
регистрационного файла установки архивирования регистрационного файла.
Определяет, какие сообщения посылаются в определяемый
пользователем регистрационный файл.
Определяет для основного системного регистрационного файла
установки архивирования регистрационного файла.
Определяет, какие сообщения посылаются в основной
системный регистрационный файл.
Определяет, какие сообщения посылаются на удаленный сервер syslog.
Определяет, какие сообщения посылаются на определенный
терминал пользователя.
Удаляется указанный регистрационный файл, включая все его
файлы архивирования.
Отображение содержимого указанного регистрационного
файла.
Отображается список файлов в каталоге протоколирования. Отображает последние строки файла сообщений.
119
delete log file
Удаляется указанный регистрационный файл, включая все его файлы архивирования.
Синтаксис
delete log file file-name
Режим команды
Операционный режим.
Параметры
file-name |
Из каталога /var/log/ удаляется указанный регистрационный файл с |
|
определяемым пользователем именем файла (user-specified file |
|
name). |
По умолчанию
Нет.
Указания по применению
Используйте эту команду, чтобы удалить регистрационный файл. Регистрационные файлы создаются в каталоге /var/log. Когда вы выдаете эту команду, указанный файл и все ассоциированные с ним файлы архивирования удаляются из каталога.
Заметим, что удаление регистрационного файла не останавливает протоколирование событий системой. Если вы используете эту команду в то время, когда система протоколирует события, старые запротоколированные события будут удалены, а события после операции удаления будут записываться в новый файл. Чтобы совершенно удалить файл, сначала выключите протоколирование в файл, используя команду show log tail (смотрите страницу 123), и затем удалите файл.
120