El daemon de registro del sistema es responsable de registrar los mensajes del sistema generados por las aplicaciones o el kernel. El daemon de registro del sistema también admite el registro remoto. Los mensajes se diferencian por facilidad y prioridad. En principio, los registros manejados por syslog están disponibles en el directorio /var/log/ en el sistema Linux:
# ls /var/log acpid cron.1 maillog.3 rpmpkgs.3 spooler.3 anaconda.log cron.2 maillog.4 rpmpkgs.4 spooler.4 anaconda.syslog cron.3 messages sa squid anaconda.xlog cron.4 messages.1 samba tallylog audit cups messages.2 scrollkeeper.log vbox boot.log dmesg messages.3 secure wtmp boot.log.1 faillog messages.4 secure.1 Xorg.0.log boot.log.2 gdm oracle-validated secure.2 Xorg.0.log.old boot.log.3 httpd pm secure.3 YaST2 boot.log.4 lastlog ppp secure.4 yum.log btmp mail prelink setroubleshoot conman maillog rpmpkgs spooler conman.old maillog.1 rpmpkgs.1 spooler.1 cron maillog.2 rpmpkgs.2 spooler.2
donde algunos de los registros se descargan en un subdirectorio como cups, samba, httpd. Entre los registros en /var/log, /var/log/messages es el más común, ya que allí se guardan los registros del sistema kernel/core. Los módulos del kernel generalmente también se vuelcan allí. Por lo tanto, para el diagnóstico/supervisión de problemas, /var/log/messages es el archivo de registro principal que se debe examinar.
El demonio/servicio de registro del sistema y su archivo de configuración difieren según la versión de Linux utilizada, es decir:
RHEL 5: syslogd - /etc/syslog.conf RHEL 6: rsyslogd - /etc/rsyslog.conf
Rsyslog
Rsyslog es el nuevo demonio de registro que inicia RHEL6 para competir con el antiguo demonio syslog-ng. Algunos de los beneficios que ofrece el demonio rsyslog sobre syslog-ng son:
– Rsyslog usa TCP en lugar de UDP, que es más confiable. TCP usa las capacidades de reconocimiento y retransmisión.
– con el demonio Rsyslog puede especificar múltiples hosts/archivos de destino para la entrega de mensajes si rsyslogd no puede entregar un mensaje a un destino particular.
– es posible filtrar mensajes en cualquier parte del mensaje de registro en lugar de la prioridad del mensaje y la instalación original.
– soporte para marcas de tiempo precisas para registrar mensajes que el demonio syslog.
– Cifrado TLS
– capacidad de iniciar sesión en bases de datos SQL.
rsyslog.conf
El archivo de configuración:/etc/rsyslog.conf porque el daemon rsyslogd se usa para manejar todos los mensajes. El archivo de configuración básicamente proporciona declaraciones de reglas que a su vez proporcionan 2 cosas:
– qué mensajes hacer coincidir.
– el selector consta de una instalación y una prioridad separadas por un punto (.) (por ejemplo, mail.info)
2. acciones
– qué hacer con los mensajes coincidentes
– generalmente un destino para registrar el mensaje (archivo en la máquina local o en un host remoto)
Selectores y acciones
Los selectores se componen de 2 cosas instalaciones y prioridades. Especifican qué mensajes hacer coincidir. El campo de acción especifica qué acción aplicar al mensaje coincidente. Por ejemplo:
kern.debug /var/log/kernlog
– Los mensajes con una función de kernel y prioridad de depuración se registran en el archivo /var/log/kernlog.
– Las declaraciones de prioridad son jerárquicas en los selectores. Rsyslog coincide con todos los mensajes con prioridad especificada y superior. Por lo tanto, se registran todos los mensajes del núcleo con prioridad de depuración y superior. Siendo la depuración la prioridad más baja, todos los mensajes con el kern de la instalación coinciden.
– Otra forma de hacer esto es usar el asterisco (*). Por ejemplo:
kern.* /var/log/kernlog
– se pueden especificar múltiples selectores en una sola línea separados por punto y coma. Esto es útil cuando es necesario aplicar la misma acción a varios mensajes.
– cuando un archivo aparece en el campo de acción, los mensajes coincidentes se escriben en el archivo.
– Puede haber otros dispositivos como FIFO , terminal, etc. para escribir los mensajes.
– Si aparece un nombre de usuario en el campo de acción, los mensajes coincidentes se imprimen para los usuarios en todos los terminales si han iniciado sesión.
– (*) en el el campo de acción especifica
Instalaciones
Las instalaciones se utiliza para especificar qué tipo de programa o aplicación está generando el mensaje. Permitiendo así que el demonio syslog maneje diferentes fuentes de manera diferente. La siguiente tabla enumera las instalaciones estándar y su descripción:
| Instalación | Descripción |
|---|---|
| autenticación/autorizaciónpriv | mensajes de seguridad/autorización (privados) |
| cron | demonio de reloj (mensajes crond y atd) |
| demonio | mensajes de demonios del sistema sin instalaciones separadas |
| kern | mensajes del núcleo |
| local0 – local7 | reservado para uso local |
| lpr | subsistema de impresora de línea |
| correo | mensajes de demonios de correo |
| noticias | Subsistema de noticias de USENET |
| registro del sistema | mensajes generados internamente por el demonio de registro del sistema |
| usuario | mensajes genéricos a nivel de usuario |
| uucp | Subsistema UUCP |
Prioridad
La prioridad de un mensaje significa la importancia de ese mensaje. La siguiente tabla enumera las prioridades estándar y sus significados:
| Prioridad | Descripción |
|---|---|
| emergencia | el sistema no se puede utilizar |
| alerta | se deben tomar medidas inmediatamente |
| crítico | condiciones críticas |
| err | condiciones de error |
| advertencia | condiciones de advertencia |
| aviso | importancia normal pero significativa |
| información | mensajes informativos |
| depuración | mensajes de depuración |
Rotación de registros
Los archivos de registro crecen regularmente con el tiempo y, por lo tanto, deben recortarse regularmente. Linux proporciona una utilidad para brindar esta funcionalidad sin la intervención del usuario. El logrotate El programa se puede utilizar para automatizar la rotación del archivo de registro. La configuración básica de logrotate se realiza en el archivo de configuración /etc/logrotate.conf . En el archivo de configuración, podemos establecer opciones como:con qué frecuencia se deben rotar los registros y cuántos registros antiguos se deben conservar.
# cat /etc/logrotate.conf
weekly
rotate 4
create
include /etc/logrotate.d
/var/log/wtmp {
monthly
minsize 1M
create 0664 root utmp
rotate 1
}
Según el archivo de configuración logrotate anterior, los registros se rotan cada semana (cambiando el nombre del registro existente a nombre de archivo.orden numérico):
minsize 1M – logrotate ejecuta y recorta los archivos de mensajes si el tamaño del archivo es igual o superior a 1 MB.
rotar 4 – mantenga los 4 archivos más recientes mientras rota.
crear – cree un nuevo archivo mientras gira con el permiso y la propiedad especificados.
incluir – incluya los archivos mencionados aquí para la configuración de rotación de registro específica del daemon.
# ls -l /var/log/messages* -rw------- 1 root root 1973 Jun 10 15:07 /var/log/messages -rw------- 1 root root 10866 Jun 6 04:02 /var/log/messages.1 -rw------- 1 root root 19931 May 30 04:02 /var/log/messages.2 -rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3 -rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4
– El demonio logrotate lee principalmente toda la configuración del archivo /etc/logrotate.conf y luego incluye archivos de configuración específicos del demonio de /etc/logrotate.d/ directorio.
– El demonio logrotate, junto con la rotación y eliminación de registros antiguos, permite la compresión de archivos de registro.
– El demonio se ejecuta diariamente desde /etc/cron.daily/logrotate.
Reloj de registro
– Los sistemas RHEL también se envían con paquetes logwatch.
– Logwatch se usa para analizar los registros para identificar cualquier mensaje interesante.
– Logwatch puede configurarse para analizar archivos de registro de servicios populares y enviar los resultados por correo electrónico al administrador.
– Se puede configurar por hora o por noche para cualquier actividad sospechosa. De forma predeterminada, en un sistema RHEL, se ejecuta todas las noches y el informe se envía por correo al usuario raíz.