Syslog: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Kadamsoo (talk | contribs)
Kadamsoo (talk | contribs)
 
(101 intermediate revisions by the same user not shown)
Line 5: Line 5:
= Sissejuhatus =
= Sissejuhatus =


Järgnev artikkel seletab endas lahti syslog mõiste, saame teada, mida syslog endas sisaldab ja miks on see meile vajalik.
Järgnevas artiklis seletatakse lahti syslog mõiste, saadakse teada, millist informatsiooni endas sisaldab syslog'i konfiguratsioonifail. Samuti uuritakse, mida sisaldab endas üks syslog'i teade ja tehakse kindlaks, millisel juhul tuleb teatele kiiret tähelepanu pöörata ja millisel juhul mitte.


= Syslog =
= Mis on syslog? =  


Syslog on utiliit, mis genereerib logifailid ning saadab need Linxi süsteemi logifaili, mis asub '''/var/log/''' kaustas, kus neid omakorda analüüsitakse. Syslog'i teateid saadavad välja erinevad võrguseadmed: ruuterid, switchid jms.  
Syslog on utiliit, mille autoriks on Eric Allman. Syslog genereerib süsteemi logifailid ning saadab need läbi IP võrgu syslog serverisse '''''/var/log/''''' kasuta. Syslog'i teateid saadavad välja erinevad võrguseadmed: ruuterid, switchid jms.  
Syslog'i teated sisaldavad tavaliselt informatsiooni: kus, millal ja miks teade saadeti.
Syslog'i paketi suurus on 1024 baiti ning see suurus on limiteeritud.
<p>Pakett sisaldab järgnevat informatsiooni:</p>
*Kategooria ''(Facility)''
*Raskusaste ''(Severity)''
* Nimi või IP aadress ''(Hostname)''
*Ajatempel ''(Timestamp)''
*Teade ''(Message)''
<p>
[http://www.ciscopress.com/articles/article.asp?p=426638][http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog] </p>


= Facility =
= syslogd =
<p>'''''Syslogd''''' on programm, mis loob syslog'i teateid.</p>
'''Ülevaade:'''
<p>'''-a''' &nbsp; pesa  </p>
<p>'''-d''' &nbsp; viib programmi, kus saab vigu parandada</p>
<p>'''-f'''  &nbsp; konfiguratsioonifail </p>
<p>'''-h''' &nbsp; saadab teated edasi </p>
<p>'''-l''' &nbsp; nime või IP aadressi nimekiri </p>
<p>'''-m''' &nbsp; ajavahemik</p>
<p>'''-n''' &nbsp; tühistab DNS päringu </p>
<p>'''-p''' &nbsp; pesa</p>
<p>'''-r''' &nbsp; võimaldab saada teateid läbi võrgu</p>
<p>'''-s''' &nbsp; domeenilist </p>
<p>'''-S''' &nbsp; paljusõnaline logimine</p>
<p>'''-v''' &nbsp; prindi ja lahku</p>
<p>'''-x''' &nbsp; Väldib ummikuid, kui nimeserver käib sama serveri peal, kus töötab syslog programm</p>


The Facility value is a way of determining which process of the machine created the message. Since the Syslog protocol was originally written on BSD Unix, the Facilities reflect the names of Unix processes and Daemons.
<p>'''Failid:'''</p>
The priority value is calculated using the following formula:
*''/etc/syslog.conf'' &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp; Konfiguratsioonifail
Priority = Facility * 8 + Level
*''/dev/log''        &nbsp; &nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;    Unixi domeeni pesa, kust kohalikke syslog sõnumeid lugeda.
*''/var/run/syslogd.pid''  &nbsp;&nbsp; &nbsp; Fail sisaldab syslogd protsessi ID'd.
<br>
Täpsem info järgnevatest allikatest:
[http://linux.die.net/man/8/syslogd]
[https://www.freebsd.org/cgi/man.cgi?query=syslogd&sektion=8]


A facility code is used to specify the type of program that is logging the message. Messages with different facilities may be handled differently.[4] The list of facilities available[5] is defined by RFC 3164:
= syslog.conf =


'''''syslog.conf''''' fail on syslogd programmi konfiguratsiooni fail. See sisaldab kahe väljaga ridu:


The list of Facilities available:
*'''''Selector field'''''
 
''Selector'' väli on kodeeritud nagu süsteemi osa, mis loob teateid ''(facility - tabel1)'', punkt (".") ja tase ''(level)'' ilma tühikuteta. ''Facility'' ja ''level'' on mõlemad tõusutundetud suure ja väikese tähe suhtes.
 
*'''''Action field'''''
 
Iga rea ''action'' väli täpsustab ära, millist tegevust tehakse, kui ''selector'' väli valib teate. On olemas 4 erinevat vormi:
 
*Teekonna nimi (algab tõusva kaldjoonega).
*Nimi või IP aadress (eelneb ät ("@") märk).
*/dev/console.
*Tärn.
 
<p>
[http://www.qnx.com/developers/docs/6.3.2/neutrino/utilities/s/syslog.conf.html]
[https://www.freebsd.org/cgi/man.cgi?syslog.conf] </p>
 
= ''Facility'' =
<p>'''''Facility''''' kirjeldab seda osa süsteemist, mis näitab ära milline protsess on teate loonud, näiteks kood number 5 on syslog, mis kirjeldab ära et teade on loodud syslogd poolt.</p>
Syslog teated on üldjoontes kategoriseeritud neid loonud lähteandmete põhjal.
Need allikad on näiteks operatsioonisüsteem, protsess või programm.
Need kategooriad, ''ing. k facilities'', on esindatud täisarvuna nagu on näidatud tabelis 1.
Kategooriad 16-21 ''(local use)'' ei ole reserveeritud ja on saadaval üldiseks kasutamiseks.
Seepärast protsessid ja programmid, millel ei ole eelnevalt ette määratud kategooriat, saavad valida mistahes kaheksa ''local use'' kategooria vahel.
Näiteks Cisco vahendid kasutavad ühte ''local use'' kategooriat teadete saatmiseks.
<p>
[http://www.ciscopress.com/articles/article.asp?p=426638]
[https://library.netapp.com/ecmdocs/ECMP1196979/html/man5/na_syslog.conf.5.html] </p>
 
''Facilities'' tabel: [http://www.kiwisyslog.com/help/syslog/index.html?protocol_facilities.htm] [http://linux.die.net/man/3/syslog]
<br>
<br>
    <p>''tabel 1 - teadete kirjeldus koos koodiga''</p>
   
   
<table class="wikitable">
<table class="wikitable">
Line 32: Line 95:
<td>0</td>
<td>0</td>
<td>kern</td>
<td>kern</td>
<td>kesksed teated</td>
<td>kesksed teated ''(kernel messages)''</td>
</tr>
</tr>
<tr>
<tr>
<td>1</td>
<td>1</td>
<td>user</td>
<td>user</td>
<td>kasutajapõhised teated</td>
<td>kasutajapõhised teated ''(user-level messages)''</td>
</tr>
</tr>
<tr>
<tr>
<td>2</td>
<td>2</td>
<td>mail</td>
<td>mail</td>
<td>mailisüsteem</td>
<td>mailisüsteem ''(mail system)''</td>
</tr>
</tr>
<tr>
<tr>
<td>3</td>
<td>3</td>
<td>daemon</td>
<td>daemon</td>
<td>süsteemiprogrammid</td>
<td>süsteemiprogrammid ''(system daemons)''</td>
</tr>
</tr>
<tr>
<tr>
<td>4</td>
<td>4</td>
<td>auth</td>
<td>auth</td>
<td>kaitse/loa teated</td>
<td>kaitse/loa teated ''(security/authorization messages)''</td>
</tr>
</tr>
<tr>
<tr>
<td>5</td>
<td>5</td>
<td>syslog</td>
<td>syslog</td>
<td>teated genereeritakse syslogd poolt</td>
<td>teated genereeritakse syslogd poolt ''(messages generated internally by syslogd)''</td>
</tr>
</tr>
<tr>
<tr>
<td>6</td>
<td>6</td>
<td>lpr</td>
<td>lpr</td>
<td>line printer subsystem</td>
<td>rea printimise allsüsteem ''(line printer subsystem)''</td>
</tr>
</tr>
<tr>
<tr>
<td>7</td>
<td>7</td>
<td>news</td>
<td>news</td>
<td>network news subsystem</td>
<td>võrguuudiste allsüsteem ''(network news subsystem)''</td>
</tr>
</tr>
<tr>
<tr>
<td>8</td>
<td>8</td>
<td>uucp</td>
<td>uucp</td>
<td>UUCP subsystem</td>
<td>UUCP allsüsteem ''(UUCP subsystem)''</td>
</tr>
</tr>
<tr>
<tr>
<td>9</td>
<td>9</td>
<td></td>
<td></td>
<td>clock daemon</td>
<td>kellaprogramm ''(clock daemon)''</td>
</tr>
</tr>
<tr>
<tr>
<td>10</td>
<td>10</td>
<td>authpriv</td>
<td>authpriv</td>
<td>security/authorization messages</td>
<td>kaitse/loa teated ''(security/authorization messages)''</td>
</tr>
</tr>
<tr>
<tr>
<td>11</td>
<td>11</td>
<td>ftp</td>
<td>ftp</td>
<td>FTP daemon</td>
<td>FTP programm ''(FTP daemon)''</td>
</tr>
</tr>
<tr>
<tr>
<td>12</td>
<td>12</td>
<td>-</td>
<td>-</td>
<td>NTP subsystem</td>
<td>NTP allsüsteem ''(NTP subsystem)''</td>
</tr>
</tr>
<tr>
<tr>
<td>13</td>
<td>13</td>
<td>-</td>
<td>-</td>
<td>log audit</td>
<td>log'i audit ''(log audit)''</td>
</tr>
</tr>
<tr>
<tr>
<td>14</td>
<td>14</td>
<td>-</td>
<td>-</td>
<td>log alert</td>
<td>logi hoiatus ''(log alert)''</td>
</tr>
</tr>
<tr>
<tr>
<td>15</td>
<td>15</td>
<td>cron</td>
<td>cron</td>
<td>scheduling daemon</td>
<td>ajakava programm ''( clock daemon)''</td>
</tr>
</tr>
<tr>
<tr>
Line 151: Line 214:
</table>
</table>


= Probleemide raskusastmed =
= Probleemide raskusastmed ''(Severity)'' =
 
<p>Allikas või kategooria ''(facility)'', mis genereerib syslog teate, samuti täpsustab teate raskusastme, kasutades ühekohalist täisarvu nagu on näidatud tabelis 2.</p>
<p>
[http://www.ciscopress.com/articles/article.asp?p=426638]
[https://library.netapp.com/ecmdocs/ECMP1155684/html/GUID-47409305-C24E-4363-B00E-9AE0451AC8DF.html]</p>
<p></p>
<br>


<p>''Tabel 2 - probleemide raskusastmed koos kirjelduse ja selgitusega''  [http://www.kiwisyslog.com/help/syslog/index.html?protocol_levels.htm]</p>
{| class="wikitable"
{| class="wikitable"
|-
|-
Line 174: Line 245:
|}
|}


Teated 5 ja 6 on täiesti normaalsed.
Teated 5 ja 6 on täiesti normaalsed, aga neile peaks aeg-ajalt tähelepanu pöörama.


= Syslog sisu vaatamine =
= Syslog faili sisu vaatamine =


Prindib välja syslog faili sisu
<p>Prindib välja syslog faili sisu</p>


'''cat /var/log/syslog'''
<pre>cat /var/log/syslog</pre>


[[File:syslog.png|600px]]
[[File:syslog.png|600px]]
Line 189: Line 260:
Näiteks otsime sõna "job":
Näiteks otsime sõna "job":


'''grep job /var/log/syslog'''
<pre>grep job /var/log/syslog</pre>


[[File:grep.png|600px]]
[[File:grep.png|600px]]
Line 196: Line 267:
Saab vaadata syslog faili sisu, aga muuta ei saa:
Saab vaadata syslog faili sisu, aga muuta ei saa:


'''less /var/log/syslog'''
<pre>less /var/log/syslog</pre>


Kui syslog'i fail on pikk, siis on head järgenavd 2 käsku, milleks on "head" ja "tail". "Head" prindib välja esimesed n rida ja "tail" prindib välja viimased n rida. Kui on soov näha viimati listaud ridu, siis on selleks parim variant kasutada "tail" käsku.
Kui syslog'i fail on pikk, siis on head järgenavd 2 käsku, milleks on "head" ja "tail". "Head" prindib välja esimesed n rida ja "tail" prindib välja viimased n rida. Kui on soov näha viimati listaud ridu, siis on selleks parim variant kasutada "tail" käsku.


'''head -n 5 /var/log/syslog'''
<pre>head -n 5 /var/log/syslog</pre>


[[File:head.png|600px]]
[[File:head.png|600px]]




'''tail -n 5 /var/log/syslog'''
<pre>tail -n 5 /var/log/syslog</pre>


[[File:tail.png|600px]]
[[File:tail.png|600px]]
<p>
[http://www.howtogeek.com/117878/how-to-view-write-to-system-log-files-on-ubuntu/] </p>
= Kokkuvõte =
<p>Käesolevas referaadis võeti kokkuvõtvalt kokku syslog'i mõiste, syslogi teadete sisu ja konfiguratsioonifaili sisu. Samuti lisati ka mõned käsud, millega on võimalik vaadata syslog teateid. </p>
<p>Materjali on antud teema puhul väga palju, millest lugejale lihtsat ja arusaadavat artiklit teha. Lisa märkusena siia juurde ka, et mõned väljendid on kaldkirjas ja inglise keelsed, kuna eesti keelde tõlgituna ei pruugiks neist nii aru saada nagu originaalkirjas. </p>
<p>Üldjoontes võtab artikkel kokku kõige tähtsama, mida võiks syslog'i kohta teada.</p>


= Kasutatud materjalid =
= Kasutatud materjalid =
*https://en.wikipedia.org/wiki/Syslog
*'''1.''' http://www.ciscopress.com/articles/article.asp?p=426638
*http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog
*'''2.''' http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog
*http://www.kiwisyslog.com/help/syslog/index.html?protocol_facilities.htm
*'''3.''' http://linux.die.net/man/8/syslogd
*https://www.sans.org/reading-room/whitepapers/logging/ins-outs-system-logging-syslog-1168
*'''4.''' https://www.freebsd.org/cgi/man.cgi?query=syslogd&sektion=8
*http://linux.die.net/man/3/syslog
*'''5.''' http://www.qnx.com/developers/docs/6.3.2/neutrino/utilities/s/syslog.conf.html
*'''6.''' https://www.freebsd.org/cgi/man.cgi?syslog.conf
*'''7.''' http://www.ciscopress.com/articles/article.asp?p=426638
*'''8.''' https://library.netapp.com/ecmdocs/ECMP1196979/html/man5/na_syslog.conf.5.html
*'''9.''' http://www.kiwisyslog.com/help/syslog/index.html?protocol_facilities.htm
*'''10.''' http://linux.die.net/man/3/syslog
*'''11.''' http://www.ciscopress.com/articles/article.asp?p=426638
*'''12.''' https://library.netapp.com/ecmdocs/ECMP1155684/html/GUID-47409305-C24E-4363-B00E-9AE0451AC8DF.html
*'''13.''' http://www.kiwisyslog.com/help/syslog/index.html?protocol_levels.htm
*'''14.''' http://www.howtogeek.com/117878/how-to-view-write-to-system-log-files-on-ubuntu/


[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Latest revision as of 21:01, 18 December 2015

Autor

Kaari Zalite A31 2015/2016

Sissejuhatus

Järgnevas artiklis seletatakse lahti syslog mõiste, saadakse teada, millist informatsiooni endas sisaldab syslog'i konfiguratsioonifail. Samuti uuritakse, mida sisaldab endas üks syslog'i teade ja tehakse kindlaks, millisel juhul tuleb teatele kiiret tähelepanu pöörata ja millisel juhul mitte.

Mis on syslog?

Syslog on utiliit, mille autoriks on Eric Allman. Syslog genereerib süsteemi logifailid ning saadab need läbi IP võrgu syslog serverisse /var/log/ kasuta. Syslog'i teateid saadavad välja erinevad võrguseadmed: ruuterid, switchid jms. Syslog'i paketi suurus on 1024 baiti ning see suurus on limiteeritud.

Pakett sisaldab järgnevat informatsiooni:

  • Kategooria (Facility)
  • Raskusaste (Severity)
  • Nimi või IP aadress (Hostname)
  • Ajatempel (Timestamp)
  • Teade (Message)

[1][2]

syslogd

Syslogd on programm, mis loob syslog'i teateid.

Ülevaade:

-a   pesa

-d   viib programmi, kus saab vigu parandada

-f   konfiguratsioonifail

-h   saadab teated edasi

-l   nime või IP aadressi nimekiri

-m   ajavahemik

-n   tühistab DNS päringu

-p   pesa

-r   võimaldab saada teateid läbi võrgu

-s   domeenilist

-S   paljusõnaline logimine

-v   prindi ja lahku

-x   Väldib ummikuid, kui nimeserver käib sama serveri peal, kus töötab syslog programm

Failid:

  • /etc/syslog.conf          Konfiguratsioonifail
  • /dev/log                     Unixi domeeni pesa, kust kohalikke syslog sõnumeid lugeda.
  • /var/run/syslogd.pid      Fail sisaldab syslogd protsessi ID'd.


Täpsem info järgnevatest allikatest: [3] [4]

syslog.conf

syslog.conf fail on syslogd programmi konfiguratsiooni fail. See sisaldab kahe väljaga ridu:

  • Selector field

Selector väli on kodeeritud nagu süsteemi osa, mis loob teateid (facility - tabel1), punkt (".") ja tase (level) ilma tühikuteta. Facility ja level on mõlemad tõusutundetud suure ja väikese tähe suhtes.

  • Action field

Iga rea action väli täpsustab ära, millist tegevust tehakse, kui selector väli valib teate. On olemas 4 erinevat vormi:

  • Teekonna nimi (algab tõusva kaldjoonega).
  • Nimi või IP aadress (eelneb ät ("@") märk).
  • /dev/console.
  • Tärn.

[5] [6]

Facility

Facility kirjeldab seda osa süsteemist, mis näitab ära milline protsess on teate loonud, näiteks kood number 5 on syslog, mis kirjeldab ära et teade on loodud syslogd poolt.

Syslog teated on üldjoontes kategoriseeritud neid loonud lähteandmete põhjal. Need allikad on näiteks operatsioonisüsteem, protsess või programm. Need kategooriad, ing. k facilities, on esindatud täisarvuna nagu on näidatud tabelis 1. Kategooriad 16-21 (local use) ei ole reserveeritud ja on saadaval üldiseks kasutamiseks. Seepärast protsessid ja programmid, millel ei ole eelnevalt ette määratud kategooriat, saavad valida mistahes kaheksa local use kategooria vahel. Näiteks Cisco vahendid kasutavad ühte local use kategooriat teadete saatmiseks.

[7] [8]

Facilities tabel: [9] [10]

tabel 1 - teadete kirjeldus koos koodiga

Kood Võtmesõna Kirjeldus
0 kern kesksed teated (kernel messages)
1 user kasutajapõhised teated (user-level messages)
2 mail mailisüsteem (mail system)
3 daemon süsteemiprogrammid (system daemons)
4 auth kaitse/loa teated (security/authorization messages)
5 syslog teated genereeritakse syslogd poolt (messages generated internally by syslogd)
6 lpr rea printimise allsüsteem (line printer subsystem)
7 news võrguuudiste allsüsteem (network news subsystem)
8 uucp UUCP allsüsteem (UUCP subsystem)
9 kellaprogramm (clock daemon)
10 authpriv kaitse/loa teated (security/authorization messages)
11 ftp FTP programm (FTP daemon)
12 - NTP allsüsteem (NTP subsystem)
13 - log'i audit (log audit)
14 - logi hoiatus (log alert)
15 cron ajakava programm ( clock daemon)
16 local0 local use 0 (local0)
17 local1 local use 1 (local1)
18 local2 local use 2 (local2)
19 local3 local use 3 (local3)
20 local4 local use 4 (local4)
21 local5 local use 5 (local5)
22 local6 local use 6 (local6)
23 local7 local use 7 (local7)

Probleemide raskusastmed (Severity)

Allikas või kategooria (facility), mis genereerib syslog teate, samuti täpsustab teate raskusastme, kasutades ühekohalist täisarvu nagu on näidatud tabelis 2.

[11] [12]


Tabel 2 - probleemide raskusastmed koos kirjelduse ja selgitusega [13]

Väärtus Raskusaste Võtmesõna Kirjeldus Selgitus
0 Emergency emerg Süsteem on kasutuskõlbmatu Paanika! Põhjuseks võib olla looduskatastroof.
1 Alert alert Tuleb koheselt korda teha Tuleb koheselt korda teha.
2 Critical crit Kriitiline seisund Tuleb koheselt reageerida. "Critical" tuleb korda teha enne "Alert" seisundit.
3 Error err Vea seisund Tuleb üle anda arendajale või administraatorile ja kindla aja jooksul korda teha.
4 Warning warning Hoiatuse seisund Ei ole veel viga, aga kui midagi ette ei võeta, siis võib viga tekkida.
5 Notice notice Normaalne, aga siiski tähtis seisund Mitte tavapärased teated, peaks tähelepanu pöörama, aga mitte koheselt.
6 Informational info Informatsioonilised teated Teated informatsiooniks, ei pea midagi tegema.
7 Debug debug debug-level teated Kasulik info arendajale programmide parendamiseks.

Teated 5 ja 6 on täiesti normaalsed, aga neile peaks aeg-ajalt tähelepanu pöörama.

Syslog faili sisu vaatamine

Prindib välja syslog faili sisu

cat /var/log/syslog


Saab eraldi sõna otsida syslog faili seest:

Näiteks otsime sõna "job":

grep job /var/log/syslog


Saab vaadata syslog faili sisu, aga muuta ei saa:

less /var/log/syslog

Kui syslog'i fail on pikk, siis on head järgenavd 2 käsku, milleks on "head" ja "tail". "Head" prindib välja esimesed n rida ja "tail" prindib välja viimased n rida. Kui on soov näha viimati listaud ridu, siis on selleks parim variant kasutada "tail" käsku.

head -n 5 /var/log/syslog


tail -n 5 /var/log/syslog

[14]

Kokkuvõte

Käesolevas referaadis võeti kokkuvõtvalt kokku syslog'i mõiste, syslogi teadete sisu ja konfiguratsioonifaili sisu. Samuti lisati ka mõned käsud, millega on võimalik vaadata syslog teateid.

Materjali on antud teema puhul väga palju, millest lugejale lihtsat ja arusaadavat artiklit teha. Lisa märkusena siia juurde ka, et mõned väljendid on kaldkirjas ja inglise keelsed, kuna eesti keelde tõlgituna ei pruugiks neist nii aru saada nagu originaalkirjas.

Üldjoontes võtab artikkel kokku kõige tähtsama, mida võiks syslog'i kohta teada.

Kasutatud materjalid