Syslog: Difference between revisions
(101 intermediate revisions by the same user not shown) | |||
Line 5: | Line 5: | ||
= Sissejuhatus = | = Sissejuhatus = | ||
Järgnevas artiklis seletatakse lahti syslog mõiste, saadakse teada, millist informatsiooni endas sisaldab syslog'i konfiguratsioonifail. Samuti uuritakse, mida sisaldab endas üks syslog'i teade ja tehakse kindlaks, millisel juhul tuleb teatele kiiret tähelepanu pöörata ja millisel juhul mitte. | |||
= | = Mis on syslog? = | ||
Syslog on utiliit, | Syslog on utiliit, mille autoriks on Eric Allman. Syslog genereerib süsteemi logifailid ning saadab need läbi IP võrgu syslog serverisse '''''/var/log/''''' kasuta. Syslog'i teateid saadavad välja erinevad võrguseadmed: ruuterid, switchid jms. | ||
Syslog'i | Syslog'i paketi suurus on 1024 baiti ning see suurus on limiteeritud. | ||
<p>Pakett sisaldab järgnevat informatsiooni:</p> | |||
*Kategooria ''(Facility)'' | |||
*Raskusaste ''(Severity)'' | |||
* Nimi või IP aadress ''(Hostname)'' | |||
*Ajatempel ''(Timestamp)'' | |||
*Teade ''(Message)'' | |||
<p> | |||
[http://www.ciscopress.com/articles/article.asp?p=426638][http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog] </p> | |||
= | = syslogd = | ||
<p>'''''Syslogd''''' on programm, mis loob syslog'i teateid.</p> | |||
'''Ülevaade:''' | |||
<p>'''-a''' pesa </p> | |||
<p>'''-d''' viib programmi, kus saab vigu parandada</p> | |||
<p>'''-f''' konfiguratsioonifail </p> | |||
<p>'''-h''' saadab teated edasi </p> | |||
<p>'''-l''' nime või IP aadressi nimekiri </p> | |||
<p>'''-m''' ajavahemik</p> | |||
<p>'''-n''' tühistab DNS päringu </p> | |||
<p>'''-p''' pesa</p> | |||
<p>'''-r''' võimaldab saada teateid läbi võrgu</p> | |||
<p>'''-s''' domeenilist </p> | |||
<p>'''-S''' paljusõnaline logimine</p> | |||
<p>'''-v''' prindi ja lahku</p> | |||
<p>'''-x''' Väldib ummikuid, kui nimeserver käib sama serveri peal, kus töötab syslog programm</p> | |||
<p>'''Failid:'''</p> | |||
*''/etc/syslog.conf'' Konfiguratsioonifail | |||
*''/dev/log'' Unixi domeeni pesa, kust kohalikke syslog sõnumeid lugeda. | |||
*''/var/run/syslogd.pid'' Fail sisaldab syslogd protsessi ID'd. | |||
<br> | |||
Täpsem info järgnevatest allikatest: | |||
[http://linux.die.net/man/8/syslogd] | |||
[https://www.freebsd.org/cgi/man.cgi?query=syslogd&sektion=8] | |||
= syslog.conf = | |||
'''''syslog.conf''''' fail on syslogd programmi konfiguratsiooni fail. See sisaldab kahe väljaga ridu: | |||
*'''''Selector field''''' | |||
''Selector'' väli on kodeeritud nagu süsteemi osa, mis loob teateid ''(facility - tabel1)'', punkt (".") ja tase ''(level)'' ilma tühikuteta. ''Facility'' ja ''level'' on mõlemad tõusutundetud suure ja väikese tähe suhtes. | |||
*'''''Action field''''' | |||
Iga rea ''action'' väli täpsustab ära, millist tegevust tehakse, kui ''selector'' väli valib teate. On olemas 4 erinevat vormi: | |||
*Teekonna nimi (algab tõusva kaldjoonega). | |||
*Nimi või IP aadress (eelneb ät ("@") märk). | |||
*/dev/console. | |||
*Tärn. | |||
<p> | |||
[http://www.qnx.com/developers/docs/6.3.2/neutrino/utilities/s/syslog.conf.html] | |||
[https://www.freebsd.org/cgi/man.cgi?syslog.conf] </p> | |||
= ''Facility'' = | |||
<p>'''''Facility''''' kirjeldab seda osa süsteemist, mis näitab ära milline protsess on teate loonud, näiteks kood number 5 on syslog, mis kirjeldab ära et teade on loodud syslogd poolt.</p> | |||
Syslog teated on üldjoontes kategoriseeritud neid loonud lähteandmete põhjal. | |||
Need allikad on näiteks operatsioonisüsteem, protsess või programm. | |||
Need kategooriad, ''ing. k facilities'', on esindatud täisarvuna nagu on näidatud tabelis 1. | |||
Kategooriad 16-21 ''(local use)'' ei ole reserveeritud ja on saadaval üldiseks kasutamiseks. | |||
Seepärast protsessid ja programmid, millel ei ole eelnevalt ette määratud kategooriat, saavad valida mistahes kaheksa ''local use'' kategooria vahel. | |||
Näiteks Cisco vahendid kasutavad ühte ''local use'' kategooriat teadete saatmiseks. | |||
<p> | |||
[http://www.ciscopress.com/articles/article.asp?p=426638] | |||
[https://library.netapp.com/ecmdocs/ECMP1196979/html/man5/na_syslog.conf.5.html] </p> | |||
''Facilities'' tabel: [http://www.kiwisyslog.com/help/syslog/index.html?protocol_facilities.htm] [http://linux.die.net/man/3/syslog] | |||
<br> | |||
<br> | |||
<p>''tabel 1 - teadete kirjeldus koos koodiga''</p> | |||
<table class="wikitable"> | <table class="wikitable"> | ||
Line 32: | Line 95: | ||
<td>0</td> | <td>0</td> | ||
<td>kern</td> | <td>kern</td> | ||
<td>kesksed teated</td> | <td>kesksed teated ''(kernel messages)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>1</td> | <td>1</td> | ||
<td>user</td> | <td>user</td> | ||
<td>kasutajapõhised teated</td> | <td>kasutajapõhised teated ''(user-level messages)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>2</td> | <td>2</td> | ||
<td>mail</td> | <td>mail</td> | ||
<td>mailisüsteem</td> | <td>mailisüsteem ''(mail system)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>3</td> | <td>3</td> | ||
<td>daemon</td> | <td>daemon</td> | ||
<td>süsteemiprogrammid</td> | <td>süsteemiprogrammid ''(system daemons)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>4</td> | <td>4</td> | ||
<td>auth</td> | <td>auth</td> | ||
<td>kaitse/loa teated</td> | <td>kaitse/loa teated ''(security/authorization messages)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>5</td> | <td>5</td> | ||
<td>syslog</td> | <td>syslog</td> | ||
<td>teated genereeritakse syslogd poolt</td> | <td>teated genereeritakse syslogd poolt ''(messages generated internally by syslogd)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>6</td> | <td>6</td> | ||
<td>lpr</td> | <td>lpr</td> | ||
<td>line printer subsystem</td> | <td>rea printimise allsüsteem ''(line printer subsystem)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>7</td> | <td>7</td> | ||
<td>news</td> | <td>news</td> | ||
<td>network news subsystem</td> | <td>võrguuudiste allsüsteem ''(network news subsystem)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>8</td> | <td>8</td> | ||
<td>uucp</td> | <td>uucp</td> | ||
<td>UUCP subsystem</td> | <td>UUCP allsüsteem ''(UUCP subsystem)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>9</td> | <td>9</td> | ||
<td></td> | <td></td> | ||
<td>clock daemon</td> | <td>kellaprogramm ''(clock daemon)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>10</td> | <td>10</td> | ||
<td>authpriv</td> | <td>authpriv</td> | ||
<td>security/authorization messages</td> | <td>kaitse/loa teated ''(security/authorization messages)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>11</td> | <td>11</td> | ||
<td>ftp</td> | <td>ftp</td> | ||
<td>FTP daemon</td> | <td>FTP programm ''(FTP daemon)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>12</td> | <td>12</td> | ||
<td>-</td> | <td>-</td> | ||
<td>NTP subsystem</td> | <td>NTP allsüsteem ''(NTP subsystem)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>13</td> | <td>13</td> | ||
<td>-</td> | <td>-</td> | ||
<td>log audit</td> | <td>log'i audit ''(log audit)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>14</td> | <td>14</td> | ||
<td>-</td> | <td>-</td> | ||
<td>log alert</td> | <td>logi hoiatus ''(log alert)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
<td>15</td> | <td>15</td> | ||
<td>cron</td> | <td>cron</td> | ||
<td> | <td>ajakava programm ''( clock daemon)''</td> | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
Line 151: | Line 214: | ||
</table> | </table> | ||
= Probleemide raskusastmed = | = Probleemide raskusastmed ''(Severity)'' = | ||
<p>Allikas või kategooria ''(facility)'', mis genereerib syslog teate, samuti täpsustab teate raskusastme, kasutades ühekohalist täisarvu nagu on näidatud tabelis 2.</p> | |||
<p> | |||
[http://www.ciscopress.com/articles/article.asp?p=426638] | |||
[https://library.netapp.com/ecmdocs/ECMP1155684/html/GUID-47409305-C24E-4363-B00E-9AE0451AC8DF.html]</p> | |||
<p></p> | |||
<br> | |||
<p>''Tabel 2 - probleemide raskusastmed koos kirjelduse ja selgitusega'' [http://www.kiwisyslog.com/help/syslog/index.html?protocol_levels.htm]</p> | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
Line 174: | Line 245: | ||
|} | |} | ||
Teated 5 ja 6 on täiesti normaalsed. | Teated 5 ja 6 on täiesti normaalsed, aga neile peaks aeg-ajalt tähelepanu pöörama. | ||
= Syslog sisu vaatamine = | = Syslog faili sisu vaatamine = | ||
Prindib välja syslog faili sisu | <p>Prindib välja syslog faili sisu</p> | ||
<pre>cat /var/log/syslog</pre> | |||
[[File:syslog.png|600px]] | [[File:syslog.png|600px]] | ||
Line 189: | Line 260: | ||
Näiteks otsime sõna "job": | Näiteks otsime sõna "job": | ||
<pre>grep job /var/log/syslog</pre> | |||
[[File:grep.png|600px]] | [[File:grep.png|600px]] | ||
Line 196: | Line 267: | ||
Saab vaadata syslog faili sisu, aga muuta ei saa: | Saab vaadata syslog faili sisu, aga muuta ei saa: | ||
<pre>less /var/log/syslog</pre> | |||
Kui syslog'i fail on pikk, siis on head järgenavd 2 käsku, milleks on "head" ja "tail". "Head" prindib välja esimesed n rida ja "tail" prindib välja viimased n rida. Kui on soov näha viimati listaud ridu, siis on selleks parim variant kasutada "tail" käsku. | Kui syslog'i fail on pikk, siis on head järgenavd 2 käsku, milleks on "head" ja "tail". "Head" prindib välja esimesed n rida ja "tail" prindib välja viimased n rida. Kui on soov näha viimati listaud ridu, siis on selleks parim variant kasutada "tail" käsku. | ||
<pre>head -n 5 /var/log/syslog</pre> | |||
[[File:head.png|600px]] | [[File:head.png|600px]] | ||
<pre>tail -n 5 /var/log/syslog</pre> | |||
[[File:tail.png|600px]] | [[File:tail.png|600px]] | ||
<p> | |||
[http://www.howtogeek.com/117878/how-to-view-write-to-system-log-files-on-ubuntu/] </p> | |||
= Kokkuvõte = | |||
<p>Käesolevas referaadis võeti kokkuvõtvalt kokku syslog'i mõiste, syslogi teadete sisu ja konfiguratsioonifaili sisu. Samuti lisati ka mõned käsud, millega on võimalik vaadata syslog teateid. </p> | |||
<p>Materjali on antud teema puhul väga palju, millest lugejale lihtsat ja arusaadavat artiklit teha. Lisa märkusena siia juurde ka, et mõned väljendid on kaldkirjas ja inglise keelsed, kuna eesti keelde tõlgituna ei pruugiks neist nii aru saada nagu originaalkirjas. </p> | |||
<p>Üldjoontes võtab artikkel kokku kõige tähtsama, mida võiks syslog'i kohta teada.</p> | |||
= Kasutatud materjalid = | = Kasutatud materjalid = | ||
* | *'''1.''' http://www.ciscopress.com/articles/article.asp?p=426638 | ||
*http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog | *'''2.''' http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog | ||
*http://www.kiwisyslog.com/help/syslog/index.html?protocol_facilities.htm | *'''3.''' http://linux.die.net/man/8/syslogd | ||
*https:// | *'''4.''' https://www.freebsd.org/cgi/man.cgi?query=syslogd&sektion=8 | ||
*http:// | *'''5.''' http://www.qnx.com/developers/docs/6.3.2/neutrino/utilities/s/syslog.conf.html | ||
*'''6.''' https://www.freebsd.org/cgi/man.cgi?syslog.conf | |||
*'''7.''' http://www.ciscopress.com/articles/article.asp?p=426638 | |||
*'''8.''' https://library.netapp.com/ecmdocs/ECMP1196979/html/man5/na_syslog.conf.5.html | |||
*'''9.''' http://www.kiwisyslog.com/help/syslog/index.html?protocol_facilities.htm | |||
*'''10.''' http://linux.die.net/man/3/syslog | |||
*'''11.''' http://www.ciscopress.com/articles/article.asp?p=426638 | |||
*'''12.''' https://library.netapp.com/ecmdocs/ECMP1155684/html/GUID-47409305-C24E-4363-B00E-9AE0451AC8DF.html | |||
*'''13.''' http://www.kiwisyslog.com/help/syslog/index.html?protocol_levels.htm | |||
*'''14.''' http://www.howtogeek.com/117878/how-to-view-write-to-system-log-files-on-ubuntu/ | |||
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]] | [[Category:Operatsioonisüsteemide administreerimine ja sidumine]] |
Latest revision as of 21:01, 18 December 2015
Autor
Kaari Zalite A31 2015/2016
Sissejuhatus
Järgnevas artiklis seletatakse lahti syslog mõiste, saadakse teada, millist informatsiooni endas sisaldab syslog'i konfiguratsioonifail. Samuti uuritakse, mida sisaldab endas üks syslog'i teade ja tehakse kindlaks, millisel juhul tuleb teatele kiiret tähelepanu pöörata ja millisel juhul mitte.
Mis on syslog?
Syslog on utiliit, mille autoriks on Eric Allman. Syslog genereerib süsteemi logifailid ning saadab need läbi IP võrgu syslog serverisse /var/log/ kasuta. Syslog'i teateid saadavad välja erinevad võrguseadmed: ruuterid, switchid jms. Syslog'i paketi suurus on 1024 baiti ning see suurus on limiteeritud.
Pakett sisaldab järgnevat informatsiooni:
- Kategooria (Facility)
- Raskusaste (Severity)
- Nimi või IP aadress (Hostname)
- Ajatempel (Timestamp)
- Teade (Message)
syslogd
Syslogd on programm, mis loob syslog'i teateid.
Ülevaade:
-a pesa
-d viib programmi, kus saab vigu parandada
-f konfiguratsioonifail
-h saadab teated edasi
-l nime või IP aadressi nimekiri
-m ajavahemik
-n tühistab DNS päringu
-p pesa
-r võimaldab saada teateid läbi võrgu
-s domeenilist
-S paljusõnaline logimine
-v prindi ja lahku
-x Väldib ummikuid, kui nimeserver käib sama serveri peal, kus töötab syslog programm
Failid:
- /etc/syslog.conf Konfiguratsioonifail
- /dev/log Unixi domeeni pesa, kust kohalikke syslog sõnumeid lugeda.
- /var/run/syslogd.pid Fail sisaldab syslogd protsessi ID'd.
Täpsem info järgnevatest allikatest:
[3]
[4]
syslog.conf
syslog.conf fail on syslogd programmi konfiguratsiooni fail. See sisaldab kahe väljaga ridu:
- Selector field
Selector väli on kodeeritud nagu süsteemi osa, mis loob teateid (facility - tabel1), punkt (".") ja tase (level) ilma tühikuteta. Facility ja level on mõlemad tõusutundetud suure ja väikese tähe suhtes.
- Action field
Iga rea action väli täpsustab ära, millist tegevust tehakse, kui selector väli valib teate. On olemas 4 erinevat vormi:
- Teekonna nimi (algab tõusva kaldjoonega).
- Nimi või IP aadress (eelneb ät ("@") märk).
- /dev/console.
- Tärn.
Facility
Facility kirjeldab seda osa süsteemist, mis näitab ära milline protsess on teate loonud, näiteks kood number 5 on syslog, mis kirjeldab ära et teade on loodud syslogd poolt.
Syslog teated on üldjoontes kategoriseeritud neid loonud lähteandmete põhjal. Need allikad on näiteks operatsioonisüsteem, protsess või programm. Need kategooriad, ing. k facilities, on esindatud täisarvuna nagu on näidatud tabelis 1. Kategooriad 16-21 (local use) ei ole reserveeritud ja on saadaval üldiseks kasutamiseks. Seepärast protsessid ja programmid, millel ei ole eelnevalt ette määratud kategooriat, saavad valida mistahes kaheksa local use kategooria vahel. Näiteks Cisco vahendid kasutavad ühte local use kategooriat teadete saatmiseks.
tabel 1 - teadete kirjeldus koos koodiga
Kood | Võtmesõna | Kirjeldus |
---|---|---|
0 | kern | kesksed teated (kernel messages) |
1 | user | kasutajapõhised teated (user-level messages) |
2 | mailisüsteem (mail system) | |
3 | daemon | süsteemiprogrammid (system daemons) |
4 | auth | kaitse/loa teated (security/authorization messages) |
5 | syslog | teated genereeritakse syslogd poolt (messages generated internally by syslogd) |
6 | lpr | rea printimise allsüsteem (line printer subsystem) |
7 | news | võrguuudiste allsüsteem (network news subsystem) |
8 | uucp | UUCP allsüsteem (UUCP subsystem) |
9 | kellaprogramm (clock daemon) | |
10 | authpriv | kaitse/loa teated (security/authorization messages) |
11 | ftp | FTP programm (FTP daemon) |
12 | - | NTP allsüsteem (NTP subsystem) |
13 | - | log'i audit (log audit) |
14 | - | logi hoiatus (log alert) |
15 | cron | ajakava programm ( clock daemon) |
16 | local0 | local use 0 (local0) |
17 | local1 | local use 1 (local1) |
18 | local2 | local use 2 (local2) |
19 | local3 | local use 3 (local3) |
20 | local4 | local use 4 (local4) |
21 | local5 | local use 5 (local5) |
22 | local6 | local use 6 (local6) |
23 | local7 | local use 7 (local7) |
Probleemide raskusastmed (Severity)
Allikas või kategooria (facility), mis genereerib syslog teate, samuti täpsustab teate raskusastme, kasutades ühekohalist täisarvu nagu on näidatud tabelis 2.
Tabel 2 - probleemide raskusastmed koos kirjelduse ja selgitusega [13]
Väärtus | Raskusaste | Võtmesõna | Kirjeldus | Selgitus |
---|---|---|---|---|
0 | Emergency | emerg | Süsteem on kasutuskõlbmatu | Paanika! Põhjuseks võib olla looduskatastroof. |
1 | Alert | alert | Tuleb koheselt korda teha | Tuleb koheselt korda teha. |
2 | Critical | crit | Kriitiline seisund | Tuleb koheselt reageerida. "Critical" tuleb korda teha enne "Alert" seisundit. |
3 | Error | err | Vea seisund | Tuleb üle anda arendajale või administraatorile ja kindla aja jooksul korda teha. |
4 | Warning | warning | Hoiatuse seisund | Ei ole veel viga, aga kui midagi ette ei võeta, siis võib viga tekkida. |
5 | Notice | notice | Normaalne, aga siiski tähtis seisund | Mitte tavapärased teated, peaks tähelepanu pöörama, aga mitte koheselt. |
6 | Informational | info | Informatsioonilised teated | Teated informatsiooniks, ei pea midagi tegema. |
7 | Debug | debug | debug-level teated | Kasulik info arendajale programmide parendamiseks. |
Teated 5 ja 6 on täiesti normaalsed, aga neile peaks aeg-ajalt tähelepanu pöörama.
Syslog faili sisu vaatamine
Prindib välja syslog faili sisu
cat /var/log/syslog
Saab eraldi sõna otsida syslog faili seest:
Näiteks otsime sõna "job":
grep job /var/log/syslog
Saab vaadata syslog faili sisu, aga muuta ei saa:
less /var/log/syslog
Kui syslog'i fail on pikk, siis on head järgenavd 2 käsku, milleks on "head" ja "tail". "Head" prindib välja esimesed n rida ja "tail" prindib välja viimased n rida. Kui on soov näha viimati listaud ridu, siis on selleks parim variant kasutada "tail" käsku.
head -n 5 /var/log/syslog
tail -n 5 /var/log/syslog
Kokkuvõte
Käesolevas referaadis võeti kokkuvõtvalt kokku syslog'i mõiste, syslogi teadete sisu ja konfiguratsioonifaili sisu. Samuti lisati ka mõned käsud, millega on võimalik vaadata syslog teateid.
Materjali on antud teema puhul väga palju, millest lugejale lihtsat ja arusaadavat artiklit teha. Lisa märkusena siia juurde ka, et mõned väljendid on kaldkirjas ja inglise keelsed, kuna eesti keelde tõlgituna ei pruugiks neist nii aru saada nagu originaalkirjas.
Üldjoontes võtab artikkel kokku kõige tähtsama, mida võiks syslog'i kohta teada.
Kasutatud materjalid
- 1. http://www.ciscopress.com/articles/article.asp?p=426638
- 2. http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog
- 3. http://linux.die.net/man/8/syslogd
- 4. https://www.freebsd.org/cgi/man.cgi?query=syslogd&sektion=8
- 5. http://www.qnx.com/developers/docs/6.3.2/neutrino/utilities/s/syslog.conf.html
- 6. https://www.freebsd.org/cgi/man.cgi?syslog.conf
- 7. http://www.ciscopress.com/articles/article.asp?p=426638
- 8. https://library.netapp.com/ecmdocs/ECMP1196979/html/man5/na_syslog.conf.5.html
- 9. http://www.kiwisyslog.com/help/syslog/index.html?protocol_facilities.htm
- 10. http://linux.die.net/man/3/syslog
- 11. http://www.ciscopress.com/articles/article.asp?p=426638
- 12. https://library.netapp.com/ecmdocs/ECMP1155684/html/GUID-47409305-C24E-4363-B00E-9AE0451AC8DF.html
- 13. http://www.kiwisyslog.com/help/syslog/index.html?protocol_levels.htm
- 14. http://www.howtogeek.com/117878/how-to-view-write-to-system-log-files-on-ubuntu/