Настройка файла |etc|syslog.conf

Прежде чем редактировать файл /etc/syslog. conf, продумайте, какие сообщения неоходимо регистрировать, как их обрабатывать и как быстро следует реагировать на них. Для примера проанализируем файл, представленный в листинге 8.1. Примерно такой файл входит в дистрибутив Red Hat. Обратите внимание на то, что строка kern. сделана комментарием. Если убрать символ комментария, на системную консоль будут выводиться сообщения всех уровней, генерируемые ядром.

Листинг. Образец файла /etc/syslog.conf

Вывод всех сообщений ядра на консоль (много ненужного). kern.* /dev/console

Регистрация сообщений от всех средств (кроме mail) уровня info и выше.

Конфиденциальные аутентификационные сообщения не нужно регистрировать.

info;mail.none;authpriv.none /var/log/messages

Доступ к файлу secure строго ограничен.

authpriv. /var/log/secure

Все сообщения почтовой подсистемы записываются в одно место.

mail./var/log/maillog

Сообщения о фатальных ошибках рассылаются всем пользователям, а также регистрируются на сервере.

.emerg

.emerg @central

Сообщения системы UUCP и сервера новостей, генерируемые на уровне crit и выше, регистрируются в специальном файле.

uucp,news.crit /var/log/spooler

Большинство журнальных сообщений в данном примере оказывается в файле /var/ log/messages благодаря селектору info. Туда же записываются и сообщения ядра. Если убрать символ комментария со строки, где упомянуто устройство /dev/console, то сообщения ядра будут дублироваться на консоли.

Сообщения от средства authpriv записываются в файл /var/log/secure. Как уже говорилось выше, разница между средствами auth и authpriv довольно нечеткая. В основном сообщения модулей РАМ регистрируются от имени средства auth. Со временем, возможно, эта ситуация будет исправлена. А пока что имеет смысл направлять все аутентификационные сообщения в один файл. Для этого нужно сделать следующую модификацию:

info;mail.none;authpriv.none;auth.none /var/log/messages

authpriv., auth. /var/log/secure

По умолчанию файлы /var/log/messages и /var/log/secure доступны для чтения только суперпользователю. Следовательно, в отличие от того, что говорится в комментариях к файлу /etc/syslog. conf, оба файла одинаково безопасны. В целом желательно максимально ограничивать доступ к журнальным файлам. Иногда имеет смысл задавать для них атрибут "только добавление".

Все сообщения от средства mail записываются в отдельный файл /var/log/ maillog. Такая конфигурация считается предпочтительной, особенно в системах, которые являются почтовыми серверами.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок