Журнальная регистрация

В LINUX существует множество журнальных файлов. Некоторые из них используются конкретными утилитами. Скажем, в файле /var/log/xferlog фиксируются записи об операциях по протоколу FTP. Другие, например файл /var/log/messages, хранят сообщения множества системных утилит и компонентов ядра. Журнальные файлы — важный источник информации о безопасности системы. Не забывайте регулярно просматривать их.

В этой главе рассматриваются два основных демона журнальной регистрации — syslogd и klogd, а также описываются многочисленные журнальные файлы, создаваемые операционной системой Linux. Речь пойдет о базовой конфигурации этих демонов. В последующих главах книги будут предложены модификации к базовой конфигурации.

Система Syslog

Система Syslog имеется во всех разновидностях UNIX. Ее реализация в Linux обладает большой гибкостью, позволяя выполнять различные действия в зависимости от поступающих журнальных сообщений. Есть множество программ и сценариев, использующих возможности этой системы и регистрирующих свои сообщения через нее.

Для начала мы узнаем, как работает система Syslog и как конфигурировать ее посредством файла /etc/syslog. conf. Затем будет рассмотрено практическое применение системы.

Обзор

В основе системы Syslog лежит демон syslogd, который принимает поступающие журнальные сообщения и обрабатывает их в соответствии с инструкциями, содержащимися в файле /etc/syslog. conf. Журнальные сообщения генерируются программами, демонами и ядром. Это относится к большинству внутренних системных утилит, в частности к подсистемам электронной почты и печати, а также к внешним программам, таким как TCP Wrappers и SSH. Общая схема взаимодействия программ и демонов журнальной регистрации изображена на рис. 8.1. Следует отметить, что, в отличие от некоторых других разновидностей UNIX, в Red Hat система Syslog не может непосредственно вызывать сценарии или программы, но может передавать сообщения через файл FIFO. К этому файлу затем уже могут подключаться утилиты вроде swatch и logcheck.

В терминологии системы Syslog программные компоненты, генерирующие сообщения, называются средствами. Каждое сообщение имеет определенный уровень важности. В файле /etc/syslog. conf указано, как обрабатывать сообщения в зависимости от типа средства и уровня важности: записывать в файл, направлять в другую систему, посылать пользователю или игнорировать.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок