Syslogd的運作流程
為了能讓系統管理人員,清楚掌握系統的運作狀況,大多數的作業系統都會有日誌(Log)的功能,在 RHEL 3.0 系統中是由 sysklogd-1.4.1-12.i386.rpm 這個套件來負責此一功能的,在 Syslogd 系統中共有兩個 daemon , 分別為 Syslogd 及 Klogd , 如上圖所示 , Kernel 所產生的 Log 將會交由 Klogd 來處理,Klogd 在交給 Syslogd 處理 , 而 AP 的部分可能會有兩種做法 , 一是將 Log 交由 Syslogd 處理 , 二是 AP 自行處理 , 如果是 AP 自行處理 , 那麼 AP 將自行將 Log 資訊儲存於 /var/log/ 目錄下的某個檔案 , 如果是交理 Syslogd 來處理 , 那麼 Syslogd 將會依照 /etc/syslog.conf 的內容來決定那些資訊該儲存於 /var/log/ 目錄下的那一個檔案。
Syslogd的基本組態
Syslogd 有兩個設定檔 ,分別是 /etc/sysconfig/syslog及 /etc/syslog.conf,如下所示:
/etc/sysconfig/syslog
|
# Options to syslogd
# -m 0 disables 'MARK' messages. # -r enables logging from remote machines # -x disables DNS lookups on messages recieved with -r # See syslogd(8) for more details SYSLOGD_OPTIONS="-m 0"
|
在一般的使用下 ,鮮少需要更動這個檔案,除非有特殊的需求。
/etc/syslog.conf
|
# Log all kernel messages to the console.
# Log anything (except mail) of level info or higher.
# The authpriv file has restricted access.
# Log all the mail messages in one place.
# Log cron stuff
# Everybody gets emergency messages
# Save news errors of level crit and higher in a special file.
# Save boot messages also to boot.log
|
在這個設定檔中 , 其語法如下:
類型.記錄等級 處理方式
| 「 類型 」 可分為: | auth, authpriv, cron, daemon, kern, lpr, mail, mark, news, security (same as auth), syslog, user, uucp 及 local0 ~ local7,其中 local0 ~local7為使用者自訂類型 ,也可以使用 * 號來代表所有的類型。 |
| 「記錄等級」 可分為: | debug, info, notice, warning, warn (same as warning), err, error (same as err), crit, alert, emerg, panic (same as emerg),以上各等級所記錄的資訊,由左至右遞減,但系統的緊急程度,由右至左遞減,也可以使用 none 表示全部不要。 |
| 「處理方式」 可分為: | 存入檔案、終端機視窗、傳給線上的使用者或者傳遞至另外的Linux主機。 |
前端的 AP 可以自行定義其產生 Log 的 「 類型 」 及 「記錄等級」,而 /etc/syslog.conf 檔案內則定義著,前端 AP 傳來的 Log 資訊其 「 類型 」 及 「記錄等級」 是什麼 ,再決定要儲存於何檔案內。
範例 :
|
*.info ; mail.none ; authpriv.none ; cron.none /var/log/messages
*.info :其中的 * 表示要記錄所有的「大項」, 而 . info表示要記錄 >= info 等級的所有資訊。 mail.none:其中的 mail 表示要記錄 mail 該項記錄,但後面的 .none 表示所有等級的資訊都不要。 所以這一行的意思是說:除了mail、authpriv及cron大項的資訊不需要, 其餘的類型中,大於等於info等級的資訊都要記錄到 /var/log/message這個檔案內 。 PS:請注意「類型」及「等級」之間的連結符號,共可分為 . .= .=! 及 .* 這四種, 其意義如下: . 代表 >= 的意思 .= 代表 = 的意思 .=! 代表 <> 的意思 .* 代表所有的意思 |
Log檔內的儲存格式
Syslogd 將系統資訊儲存於檔案 ,其檔案內的格式如下 :
Sep 19 23:43:28 mail sshd[947 ] : Accepted password for root from 192.168.18.1 port 3287
其格式共分為四個欄位 ,分別如下 :
| Sep 19 23:43:28 | 記錄的時間 |
| 產生此 Log 的主機名稱 | |
| sshd[947 ] | 產生此 Log 的應用程式名稱 |
| Accepted password for root from 192.168.18.1 port 3287 | 此一 Log 的內容 |
使用者自定Log檔內容
由於 Syslogd 會將不同應用程式所產生的 log ,置於相同一個檔案內 (如: /var/log/message 就集合了各種不同的 log) ,如果我們希望將某一個應用程式的 log, 獨立存放於一個檔案內,又該如何指定呢 ?
一般應用程式的設定檔,都可以指定 Log 輸出的 「類型」 ,以 sshd 為例,sshd 的設定檔為 /etc/ssh/sshd_config,其內容有一行為 「SyslogFacility AUTHP , RIV」 ,表示 sshd 所產生的 log 將歸類為 AUTHPRIV 的類型,而 /etc/syslog.conf 檔案內指定將 AUTHPRIV 類型的資訊記錄於 /var/log/secure , 因此在預設定狀況下,sshd 所產生的 log 就存在於 /etc/log/secure內。
我們可以試著將 /etc/ssh/sshd_config 內的 「SyslogFacility AUTHPRIV」改為 「SyslogFacility local0」 ,也就是將 log 的類型改為 local0,並在 /etc/syslog.conf 檔案內加入一行「 local0.* /var/log/sshd」,接著請重新啟動 sshd 及 syslogd ,並試著使用 ssh 於遠端登入,此時 /var/log/ 內應該就會出現 sshd 這個 log 檔了。
組態Log Server及Log Client
如果 Server 眾多時 ,要管理分散於各地的 Log 也是一件苦差事,所幸 Syslog 系統本身就有 Client Server 的架構,只要經過簡單的組態,即可架構出 Log Server ,並將分散於各地的 Log 回存於 Log Server 之上,接下來就為各位示範 Log Server 及 Log Client 的組態。
Log Server
請修放 /etc/sysconfig/syslog 檔案,並將 「SYSLOGD_OPTIONS="-m 0"」改為「SYSLOGD_OPTIONS="-r -m 0"」,然後重新啟動 syslog 服務, 如果 Log Server 有使用防火牆 ,那麼請記得將 udp 的 514 port 打開。
Log Client
請修改 /etc/syslog.conf , 例如原本存於本機內 /var/log/secure 的資訊 ,要傳回 Log Server 內存放,那麼請修改如下:
| 修改前:authpriv.* /var/log/secure | 修改後:authpriv.* @192.168.1.254 |
其中 @192.168.1.254 為 Log Server 的 IP, 接著 Log Client 主機上,原本存於 /var/log/secure 檔案內的資訊,將會傳回給 Log Server ,而 Log Server 也將是依照 Log 的「類型」,將 log 資訊存放於 /var/log 內的某一個檔案。
也許你會有個疑問 ,如果有 10 個 Log Client,那 10 個 Log Client 的資訊都擠在 Log Server 的某一個檔案之中,不是更難管理嗎?
事實上一點也不會難以管理,別忘了 Log 格式中的第二個欄位為「產生此 Log 的主機名稱」,因此我們只要使用 grep 指令,並透過 hostname 來搜尋,即可快速分離各 Log Client 的 Log 資訊了。
