Product SiteDocumentation Site

9.5. Системные события syslog

9.5.1. Принципы и механизм

Демон rsyslogd отвечает за сбор служебных сообщений от приложений и ядра и дальнейшее распределение их по файлам журналов (обычно хранящимся в каталоге /var/log/). Он управляется конфигурационным файлом /etc/rsyslog.conf.
Каждое сообщение в журнале соответствует подсистеме приложений (в документации называемой «facility»):
  • auth и authpriv: для аутентификации;
  • cron: от сервисов планировки заданий, cron и atd;
  • daemon: относится к демонам, не выделенным в особую группу (DNS, NTP и т. д.);
  • ftp: относится к FTP-серверу;
  • kern: сообщение от ядра;
  • lpr: от подсистемы печати;
  • mail: от подсистемы электронной почты;
  • news: сообщение подсистемы Usenet (в частности от сервера NNTP — Network News Transfer Protocol — управляющего новостными группами);
  • syslog: сообщения от самого сервера syslogd;
  • user: пользовательские сообщения (основные);
  • uucp: сообщения от сервера UUCP (Unix to Unix Copy Program, старый протокол, широко использовавшийся для распространения сообщений электронной почты);
  • с local0 по local7: зарезервированы для локального использования.
Каждому сообщению также присваивается уровень приоритета. Вот их список в порядке убывания:
  • emerg: “Помогите” Возникла аварийная ситуация, система возможно непригодна для использования.
  • alert: поспешите, промедление небезопасно, нужно срочно принимать меры;
  • crit: условия критические;
  • err: ошибка;
  • warn: предупреждение (возможная ошибка);
  • notice: условия нормальные, но сообщение важное;
  • info: информационное сообщение;
  • debug: сообщение для отладки.

9.5.2. Конфигурационный файл

The syntax of the /etc/rsyslog.conf file is detailed in the rsyslog.conf(5) manual page, but there is also HTML documentation available in the rsyslog-doc package (/usr/share/doc/rsyslog-doc/html/index.html). The overall principle is to write “selector” and “action” pairs. The selector defines all relevant messages, and the action describes how to deal with them.

9.5.2.1. Синтаксис селектора

Селектор представляет собой Разделённый точками с запятой список пар подсистема.приоритет (пример: auth.notice;mail.info). Звёздочка может означать все подсистемы или все приоритеты (примеры: *.alert или mail.*). Несколько подсистем можно сгруппировать, разделяя их запятой (пример: auth,mail.info). Указанный приоритет подразумевает сообщения того же или более высокого уровня; так, auth.alert соответствует сообщениям подсистемы auth с приоритетом alert или emerg. Если в начале стоит восклицательный знак, такая запись означает прямо противоположное, то есть строго более низкие приоритеты; auth.!notice, таким образом, означает сообщения от auth с приоритетом info или debug. Если в начале стоит знак равенства, такая запись означает точное соответствие указанному приоритету и только ему (auth.=notice соответствует сообщениям от auth с приоритетом notice).
Каждый элемент в списке селектора переписывает предыдущие элементы. Благодаря этому возможно ограничить выборку или исключить из неё некоторые элементы. Например, kern.info;kern.!err означает сообщения от ядра с приоритетом между info и warn. Приоритет none указывает на пустую выборку (нет приоритетов) и может использоваться для исключения подсистемы из выборки сообщений. Так, *.crit;kern.none означает все сообщения с приоритетом, равным или более высоким, чем crit, исходящим не от ядра.

9.5.2.2. Синтаксис действий

К ОСНОВАМ Именованный канал — постоянный канал

Именованный канал — это специальный тип файла, работающий как обычный канал (канал, который создаётся с помощью символа «|» в командной строке), но через файл. Преимущество этого механизма заключается в возможности связи между двумя не взаимосвязанными процессами. Запись чего бы то ни было в именованный канал блокирует записывающий процесс до тех пор, пока другой процесс не попытается прочитать записанные данные. Этот второй процесс читает данные, записанные первым, которые после этого может продолжить работу.
Такой файл создаётся с помощью команды mkfifo.
В число возможных действий входят:
  • добавление сообщения в файл (пример: /var/log/messages);
  • отправка сообщения удалённому серверу syslog (пример: @log.falcot.com);
  • отправка сообщения в существующий именованный канал (пример: |/dev/xconsole);
  • отправка сообщения одному или нескольким пользователям, если они вошли в систему (пример: root,rhertzog);
  • отправка сообщения всем пользователям в системе (пример: *);
  • вывод сообщения в текстовую консоль (пример: /dev/tty8).

БЕЗОПАСНОСТЬ Пересылка журналов

Хорошей идеей будет записывать наиболее важные журналы на отдельной машине (возможно, специально выделенной для этой цели), поскольку это не позволит возможному взломщику удалить следы своего проникновения (если, конечно, он также не скомпроментировал и этот другой сервер). Кроме того, в случае большой проблемы (такой как сбой ядра) журналы будут доступны на другой машине, что повышает шансы на выявление последовательности событий, приведших к сбою.
Чтобы принимать сообщения журнала, посылаемые другими машинами, нужно перенастроить rsyslog: нужно только активировать готовые записи в /etc/rsyslog.conf ($ModLoad imudp и $UDPServerRun 514).