Notikumu reģistrēšana, izmantojot Syslogd un Klogd operētājsistēmā Linux

Administrēšanas uzdevumi Linux daudzās situācijās ir sarežģīti procesu, pakalpojumu un lomu daudzuma dēļ, kas tiek izpildīti katru sekundi, un tam mums jāpievieno pieteikšanās, lietojumprogrammu instalēšana un neaizmirstot visus notikumus, ko katra lietojumprogramma reģistrē pārvaldītajā izplatīšanā . Par laimi administratoriem un kontroles vai revīzijas personālam, mums ir izstrādātas dažādas komandas, lai atvieglotu sistēmas notikumu pārvaldību un kontroli, un tāpēc Solvetic šim nolūkam pievērsīsies divām svarīgākajām komandām. Syslog un Klogd.

Žurnāls ir kā žurnāls, kurā tiek ierakstīti lietojumprogrammu vai operētājsistēmas radītie notikumi, kļūdas, izmaiņas un procesi, lai vēlāk varētu izlasīt šo ierakstu un noteikt, kādi notikumi notikuši, īpaši kļūdu vai ievainojamību gadījumā. Žurnāla faili Linux sistēmā atrodas direktorijā / var / log. Linux žurnālu sistēmu pārvalda divi dēmoni:

SYSLOGDĢenerē sistēmas žurnālus. Syslogd darbojas automātiski, startējot Linux sistēmu, un tā ir atbildīga par pārskatu saglabāšanu par datora darbību. Tā saņem ziņojumus no dažādām sistēmas daļām, kodola un lietojumprogrammām, uzglabā tos dažādās vietās - gan vietējās, gan attālās, ievērojot /etc/syslog.conf konfigurācijas failā definētos kritērijus.

KLOGDĢenerējiet kodola žurnālus. klogd novirza kodola žurnāla ziņojumus uz sistēmas žurnālu. Lietotājs var kontrolēt kodola ziņojumu apstrādi, rediģējot konfigurācijas failu syslogd. Šīs klogd lietojumprogrammas ir īpaši noderīgas kodola izstrādātājiem.

1. Kas ir un kā izmantot Syslogd Linux žurnālos

Apskatīsim, kas tas ir un kā lietot Syslogd

Kas ir SyslogdSyslogd (Linux sistēmas reģistrēšanas utilītas) ir komanda, kas dod mums žurnāla veidu, ko izmanto daudzas mūsdienu programmas, pateicoties Syslogd, katrs reģistrētais ziņojums satur vismaz vienu reizi un vienu saimniekdatora lauka lauku, padarot uzraudzības uzdevumus daudz vienkāršākus un vieglāk analizēt.

Komandai Syslogd ir standarta BSD darbība, un jaunās Syslogd versijas pārredzami mijiedarbojas ar standarta bibliotēkās pieejamo syslog versiju, tādēļ, ja ar standarta koplietotajām bibliotēkām saistītais binārais fails nedarbojas pareizi, Syslogd parādīs šīs darbības. binārs.

1. darbība
Galvenais konfigurācijas fails ir /etc/syslog.conf, un žurnāls parasti tiek norādīts ar noteikumu ierakstiem. Katrā rindā ir norādīts selektors (iekārta.prioritāte) un darbība. Jāpatur prātā, ka mūsdienu Linux izplatīšana, komanda Syslogd ir aizstāta ar jaunām Syslog ieviešanām, piemēram, rsyslog vai syslog-ng, tādēļ, ja mēs vēlamies izmantot Syslogd, mēs varam to instalēt ar šādu komandu:

 apt instalēt inetutils-syslogd 

PALIELINĀT

2. solis
Tur mums jāievada burts S, lai apstiprinātu Syslogd lejupielādi un instalēšanu. Pēc instalēšanas mēs varam doties uz tā konfigurācijas failu, kas atrodas šādā ceļā /etc/syslog.conf:

 nano /etc/syslog.conf 

PALIELINĀT

3. solis
Tur mēs atrodam visus maršrutus, kurus Syslogd izmantos informācijas iegūšanai. Syslogd vispārējā lietojuma sintakse ir šāda:

 syslogd [-a ligzda] [-d] [-f konfigurācijas fails] [-h] [-l saimniekdatoru saraksts] [-m intervāls] [-n] [-p ligzda] [-r] [-s saraksta domēns] [-S] [-v] [-x] 

4. solis
Starp pieejamajām iespējām mums ir:

Norādiet papildu kontaktligzdasŠis arguments ļauj mums norādīt papildu ligzdas, kuras Syslogd vajadzētu klausīties, tas tiek izmantots gadījumā, ja kāds dēmons tiek izpildīts vidē chroot (). Būs iespējams izmantot līdz 19 papildu kontaktligzdām.

 -kontaktligzda 

Iespējot atkļūdošanas režīmušis arguments aktivizē atkļūdošanas režīmu, kas saglabās Syslog priekšplānā un tādējādi uzrakstīs daudz atkļūdošanas informācijas pašreizējam tty.

 -d

Konfigurācijas failsŠis arguments norāda alternatīvu konfigurācijas failu noklusējuma faila /etc/syslog.conf vietā.

 -f konfigurācijas fails 

Bloķēt ziņojumu attālo pārsūtīšanuŠis parametrs neļauj Syslogd pārsūtīt ziņojumus, ko tas saņem no attālajiem saimniekiem.

 -h

Definējiet tīkla nosaukumuPateicoties šim parametram, var norādīt resursdatora nosaukumu, kas jāreģistrē tikai ar tā vienkāršo saimniekdatora nosaukumu, nevis ar FQDN.

 -l saimnieku saraksts (saimnieku saraksts) 

Nosakiet laika intervāluIzmantojot šo parametru, mēs varam norādīt izmantojamo laika intervālu, pēc noklusējuma vērtība ir 20 minūtes.

 -m intervāls 

Izvairieties no Syslodg darbībasŠis parametrs neļauj Syslogd darboties fonā.

 -n

Iestatiet domēna ligzduTas ļauj mums norādīt alternatīvu Unix domēna ligzdu, nevis / dev / log

 -p ligzda

Atļaut tīkla ziņojumusŠī opcija ļaus instalācijai saņemt ziņojumus no tīkla, izmantojot interneta domēna ligzdu ar pakalpojumu Syslog.

 -r

Definējiet domēna nosaukumuŠis parametrs nosaka domēna nosaukumu, kas ir jānoņem pirms pieteikšanās.

 -s domēnu saraksts 

Iespējot reģistrācijuIespējot detalizētu reģistrēšanu,

 -S

Iespējot pašreizējo versijuSkatiet pašreizējo Syslogd versiju.

 -v 

PALIELINĀT

5. solis
Izpildot kādu no pieejamajām opcijām, mēs varam redzēt visus iekšēji izpildītos uzdevumus:

PALIELINĀT

2. Signāli Syslogd Linux žurnālos

1. darbība
Syslogd spēj reaģēt uz signālu kopu, iespēja nosūtīt signālu Syslogd, izpildot:

 nogalināt -SIGNAL 'kaķis /var/run/syslogd.pid' 

2. solis
Kad šis signāls tiek izpildīts, dažādas sastāvdaļas, piemēram,. Tādējādi Syslogd ir praktisks risinājums Linux notikumu analīzei.

SIGHUPŠī opcija ļauj Syslogd veikt atsāknēšanas procesu, kurā visi atvērtie faili ir aizvērti, konfigurācijas fails tiks nolasīts vēlreiz un Syslog instalēšana sāksies no jauna.

SIGTERMPakalpojuma derīguma termiņš beigsies.

SIGINT, SIGQUITJa atkļūdošana ir iespējota, tās tiek ignorētas, pretējā gadījumā Syslogd derīguma termiņš beigsies.

SIGUSR1Iespējot vai atspējot atkļūdošanu.

SIGCHLDGaidiet jaunās ziņas.

3. Konfigurējiet Linux sistēmas logotipu

Syslogd savā konfigurācijas failā izmanto nedaudz atšķirīgu sintaksi nekā tradicionālais sākotnējais BSD avota fails. Syslogd konfigurācija tiek veikta, izmantojot failu /etc/syslogd.conf. Izmantojot šo failu, tiek norādīts, kur jānovirza dažādi ziņojumi. Varat atstāt tukšas rindas vai komentēt visas rindas ar rakstzīmi "#"

Lai syslog varētu pieņemt attālos savienojumus, mums jāpievieno parametrs -r

 SYSLOGD_OPTIONS = " - r -m 0" 

Parasti syslogd aizņem 514. portu, mums ir jāpārbauda, ​​vai ugunsmūris to nebloķē, lai pārbaudītu, kurā ostā tas darbojas, no termināļa rakstām šādu kodu

 grep syslog / etc / services 

Pakalpojumu žurnālos šajā rindā mēs redzam, ka žurnāli "mail, cron, info" nonāk ziņu direktorijā

 * .info; mail.none; authpriv.none; cron.none / var / log / messages 

Mēs mēģināsim nosūtīt ziņojumu visiem žurnāliem ar šādu komandu

 grep "Pārbaudes ziņojums" / var / log / * 

Šajā gadījumā mēs redzam, ka vairākiem žurnāliem ir atteiktas atļaujas, tāpēc tos nevar rakstīt.

Būtu jānosaka, vai nepieciešams mainīt atļaujas vai ne atbilstoši mūsu vajadzībām. Žurnāliem ir vairāki ziņojumu prioritātes līmeņi (no zemākās līdz augstākajai:

Neveiksmju, kļūdu un brīdinājumu žurnāli

 atkļūdošana, informācija, paziņojums, brīdinājums, brīdinājums, kļūda, kļūda, kritika, brīdinājums, rašanās un panika 

Ziņojumu veidu žurnāliDažādu ziņojumu veidu žurnāli

 auth, authpriv, cron, dēmons, kern, lpr, pasts, zīme, ziņas, drošība, sistēmas logs, lietotājs, uucp 

Vissvarīgākie ir

• var / log / messages: šeit mēs atradīsim žurnālus, kas tiek saņemti ar prioritāro informāciju (informāciju), paziņojumu (paziņojumu) vai brīdinājumu (brīdinājums).

• /var/log/kern.log: šeit tiek glabāti klogd ģenerētie kodola žurnāli.

• /var/log/auth.log: šis žurnāls reģistrē pieteikšanās datus sistēmā, laikus, kad mēs veicam su utt. Neveiksmīgi mēģinājumi tiek ierakstīti rindās ar informāciju par nederīgu atslēgas veidu vai nederīgu pieteikumvārdu.

• / var / log / dmesg: informācija, ko kodols ģenerē sistēmas startēšanas laikā, tiek saglabāta šajā failā.

Šie žurnālfaili visu laiku uzkrāj informāciju, tāpēc kādā brīdī tie var aizņemt daudz vietas, lai atrisinātu šo problēmu, mēs varam to saspiest vai dublēt, ja tie patiešām ir nepieciešami. Dažas izmaiņas, kas jāpatur prātā, ir šādas:

Aizstājējzīmju lietošanaTo izmanto kā aizstājējzīmi visām iepriekšminētajām prioritātēm un pakalpojumiem atkarībā no tā izmantošanas (pirms vai pēc atdalītāja zīmes ".").

 "*" (Zvaigznīte) = 

Neatzīmējiet prioritātiNorāda, ka izvēlētās līnijas pakalpojumam nav noteikta prioritāte.

 "": (Tukšs, atstarpe, nulle) 

Izvēlieties dažādus pakalpojumusĻauj vienā rindā norādīt vairākus pakalpojumus ar vienādu prioritātes līmeni.

 "," (ēst) 

Kontrolējiet dažādus ziņojumusĻauj novirzīt ziņas no dažādiem pakalpojumiem un prioritātēm vienam un tam pašam saņēmējam.

 ";" (semikols) 

Izvēlieties ziņojuma prioritātiTas dod mums iespēju saglabāt ziņojumus tikai ar precīzi norādīto prioritāti.

 "=" (Vienāds) 

4. Kas ir un kā lietot Klogd Linux žurnālos

Kas ir KlogdKlogd (Kernel Log Daemon) ir sistēmas dēmons, kas izstrādāts, lai pārtvertu un reģistrētu ziņojumus no Linux kodola. Komandas Klogd funkcija ir vērsta uz vairāku kodolu gadījumu, piemēram, avota, prioritāšu noteikšanu un kodola adrešu izšķirtspēju, uztveršanu.

Linux vidē mums ir divi galvenie kodola reģistra informācijas avoti, piemēram:

• / Proc failu sistēma

• Sistēmas zvana saskarne (sys_syslog)

Komanda Klogd ir izstrādāta, lai izvēlētos ērtāko informācijas avotu informācijas parādīšanai, lai to panāktu, pirmkārt, tā pārbauda, ​​vai ir instalēta / proc failu sistēma, ja tāda ir, / proc file / kmsg tiek izmantots kā kodola žurnāla informācijas avots, ja proc failu sistēma nav uzstādīta, Klogd izmantos sistēmas zvanu, lai iegūtu kodola ziņojumus. Gadījumā, ja kodola ziņojumi tiek novirzīti caur syslogd dēmonu, Klogd dēmons kopš tā versijas 1.1 var noteikt kodola ziņojumu prioritāti, šī prioritāte ir diapazonā, kurā kodola ziņojuma prioritāte tiek kodēta kā viens ciparu cipars iekšpusē.

Kad tiek saņemts ziņojums no kodola, Klogd dēmons nolasa piešķirto prioritātes līmeni un piešķir tam prioritātes līmeni, pamatojoties uz syslog ziņojumu. Izmantojot Klogd, sistēmas konsolē būs iespējams mainīt arī kodola ziņojumu parādīšanu, kopējā kodolā noklusējuma konsoles žurnāla līmenis ir iestatīts uz 7, tādējādi visi ziņojumi ar zemāku prioritātes līmeni ir 7 (augstākā prioritāte) ) parādīsies konsolē. 7. prioritātes līmeņa ziņojumi tiek uzskatīti par “atkļūdošanas” ziņojumiem, un tāpēc tie neparādīsies konsolē, lai nepārslogotu citus kodola notikumus ar informāciju.

Klogd ir funkcija ar nosaukumu Kernel Address Resolution, ar kuru kodols atklāj iekšējas kļūdas stāvokli, automātiski tiek aktivizēts vispārējais aizsardzības kļūdu protokols. Šī ir daļa no GPF apstrādes procedūras, kurā kodols izdrukā statusa atskaiti, kas norāda procesora statusu, kad tiek ģenerēta kļūda; šī rezultāta ietvaros mēs redzēsim tādu informāciju kā mikroprocesoru reģistru saturs, kodola kaudze un funkciju kontrole, kas darbojās pirms kļūdas.

Skaitlisko adrešu risināšanas procesu no aizsardzības kļūmes rezultātiem var veikt manuāli vai izmantojot kodola avotos iekļauto programmu ksymoops. Komanda Klogd atbalsta aizsardzības kļūmju diagnosticēšanas problēmu pašreizējos kodola ielādējamos moduļos.

1. darbība
Tāpat kā Syslogd, Klog pašreizējos sadalījumos ir aizstāts ar dinamiskākām komandām, tāpēc tā instalēšanai mēs izpildīsim sekojošo. Tur mēs ievadām burtu S, lai apstiprinātu lejupielādi un instalēšanu.

 apt instalējiet busybox-syslogd 

PALIELINĀT

2. solis
Klogd sintakse ir šāda:

 klogd [-cn] [-d] [-f fname] [-iI] [-n] [-o] [-p] [-s] [-k fname] [-v] [-x] [-2 ] 

3. solis
Šīs iespējas ir:

Definējiet žurnāla līmeniŠis parametrs nosaka noklusējuma reģistrēšanas līmeni konsoles ziņojumiem uz n.

 -c n 

Atkļūdošanas režīmsšī opcija iespējo atkļūdošanas režīmu.

 -d 

Žurnāla ziņasfails reģistrē ziņojumus uz norādīto faila nosaukumu, nevis sistēmas žurnāla instalēšanu.

 -F 

Identificējiet dēmonus, kas darbojasidentificē pašlaik darbojošos klogd dēmonu. Abi slēdži kontrolē simbolu informācijas ielādi / pārlādēšanu.

 -i -es 

Pārtrauciet klogd fonāNeļaujiet Klogd darboties fonā.

 -n 

Pilns lasījums ziņojumu buferosŠī opcija ļauj Klogd lasīt un ierakstīt visus ziņojumus, kas atrodami kodola ziņojumu buferos.

 -vai 

Piespiest sistēmas zvanuPiespiež Klogd komandu izmantot sistēmas zvanu saskarni kodola ziņojumu buferiem.

 -s 

Skatīt Klogd versijuIzdrukājiet Klogd versiju.

 -v 

PALIELINĀT

4. solis
Ja mēs vēlamies izlasīt visus notikumus pēc pieteikšanās, mēs veiksim sekojošo:

 klogd -o -f ./krnl.msg 

5. solis
Pēc tam būs iespējams piekļūt minētā faila saturam:

PALIELINĀT

5. Klogd signāli Linux

Komanda Klogd var reaģēt uz astoņiem (8) signāliem, kas ir: SIGHUP, SIGINT, SIGKILL, SIGTERM, SIGTSTP, SIGUSR1, SIGUSR2 un SIGCONT. Signāli SIGINT, SIGKILL, SIGTERM un SIGHUP ļauj dēmonam izslēgt kodola žurnāla avotus un pareizi izbeigt procesu, kamēr SIGTSTP un SIGCONT signāli tiek izmantoti, lai sāktu un apturētu kodola žurnālu.

1. darbība
Piemēram, ja mēs vēlamies atvienot / proc failu sistēmu, mums jāizpilda šādas komandas:

 # nogalināt -TSTP pid # umount / proc # kill -CONT pid

2. solis
Daži faili, ko izmantot kopā ar Klogd, ir šādi:

• / proc / kmsg: ir klogd kodola ziņojumu avota fails

• /var/run/klogd.pid: ir fails, kas satur klogd procesa ID

• /boot/System.map, /System.map, /usr/src/linux/System.map - tās ir kodola sistēmas karšu noklusējuma atrašanās vietas.

Kā redzam, mums ir šīs divas noderīgas un būtiskas komandas pareizai un pilnīgai kodola notikumu pārvaldībai Linux.