GNU/Linux >> Tutoriels Linux >  >> Linux

CentOS / RedHat :Guide du débutant pour l'administration des fichiers journaux

Le démon de journalisation du système est responsable de la journalisation des messages système générés par les applications ou le noyau. Le démon de journal système prend également en charge la journalisation à distance. Les messages sont différenciés par facilité et priorité. En principe, les logs gérés par syslog sont disponibles dans le répertoire /var/log/ sur le système Linux :

# ls /var/log
acpid            cron.1     maillog.3         rpmpkgs.3         spooler.3
anaconda.log     cron.2     maillog.4         rpmpkgs.4         spooler.4
anaconda.syslog  cron.3     messages          sa                squid
anaconda.xlog    cron.4     messages.1        samba             tallylog
audit            cups       messages.2        scrollkeeper.log  vbox
boot.log         dmesg      messages.3        secure            wtmp
boot.log.1       faillog    messages.4        secure.1          Xorg.0.log
boot.log.2       gdm        oracle-validated  secure.2          Xorg.0.log.old
boot.log.3       httpd      pm                secure.3          YaST2
boot.log.4       lastlog    ppp               secure.4          yum.log
btmp             mail       prelink           setroubleshoot
conman           maillog    rpmpkgs           spooler
conman.old       maillog.1  rpmpkgs.1         spooler.1
cron             maillog.2  rpmpkgs.2         spooler.2

où certains des journaux sont vidés dans un sous-répertoire comme cups, samba, httpd. Parmi les journaux sous /var/log, le /var/log/messages est le plus courant car les journaux système du noyau / noyau y sont conservés. Les modules du noyau s'y déchargent généralement aussi. Ainsi, pour le diagnostic/la surveillance des problèmes, /var/log/messages est le principal fichier journal à examiner.

Le démon/service de journal système et son fichier de configuration diffèrent selon la version de Linux utilisée, c'est-à-dire :

RHEL 5: syslogd -  /etc/syslog.conf
RHEL 6: rsyslogd - /etc/rsyslog.conf

Rsyslog

Rsyslog est le nouveau démon de journalisation qui démarre RHEL6 pour concurrencer l'ancien démon syslog-ng. Quelques-uns des avantages que le démon rsyslog offre par rapport à syslog-ng sont :

1. Réseautage fiable
– Rsyslog utilise TCP au lieu d'UDP qui est plus fiable. TCP utilise les capacités d'accusé de réception et de retransmission.
– avec le démon Rsyslog, vous pouvez spécifier plusieurs hôtes/fichiers de destination pour la livraison des messages si rsyslogd est incapable de livrer un message à une destination particulière.

2. Précision
– il est possible de filtrer les messages sur n'importe quelle partie du message de journalisation plutôt que sur la priorité du message et l'installation d'origine.
– prise en charge d'horodatages précis pour consigner les messages que le démon syslog.

3. Autres fonctionnalités
– Cryptage TLS
– possibilité de se connecter aux bases de données SQL.

rsyslog.conf

Le fichier de configuration – /etc/rsyslog.conf car le démon rsyslogd est utilisé pour gérer tous les messages. Le fichier de configuration fournit essentiellement des déclarations de règles qui à leur tour fournissent 2 choses :

1. Sélecteurs
– à quels messages faire correspondre.
– le sélecteur se compose d'une fonction et d'une priorité séparées par un point (.) (par exemple, mail.info)
2. gestes
– que faire des messages correspondants
– généralement une destination pour consigner le message (fichier sur une machine locale ou un hôte distant)

Sélecteur et actions

Les sélecteurs sont composés de 2 choses installations et priorités. Ils spécifient les messages à faire correspondre. Le champ d'action spécifie l'action à appliquer au message correspondant. Par exemple :

kern.debug 			/var/log/kernlog

– Les messages avec une facilité de débogage du noyau et de la priorité sont enregistrés dans le fichier /var/log/kernlog.
– Les instructions de priorité sont hiérarchiques dans les sélecteurs. Rsyslog correspond à tous les messages avec une priorité spécifiée et supérieure. Ainsi, tous les messages du noyau avec une priorité de débogage et supérieure sont enregistrés. Le débogage étant la priorité la plus basse, tous les messages avec facilité de crénage sont mis en correspondance.
– Une autre façon de procéder consiste à utiliser l'astérisque (*). Par exemple :

kern.* 			/var/log/kernlog

– plusieurs sélecteurs peuvent être spécifiés sur une seule ligne séparés par des points-virgules. Ceci est utile lorsque la même action doit être appliquée à plusieurs messages.
– lorsqu'un fichier est répertorié dans le champ d'action, les messages correspondants sont écrits dans le fichier.
– Il peut y avoir d'autres périphériques tels que FIFO , terminal, etc. pour écrire les messages.
– Si un nom d'utilisateur est répertorié dans le champ d'action, les messages correspondants sont imprimés aux utilisateurs de tous les terminaux s'ils sont connectés.
– (*) dans le champ le champ d'action spécifie

Comprendre les actions rsyslog

Installations

L'établissement est utilisé pour spécifier quel type de programme ou d'application génère le message. Permettant ainsi au démon syslog de gérer différentes sources différemment. Le tableau ci-dessous liste les équipements standards et leur description :

Installation Description
auth/authpriv messages de sécurité/autorisation (privés)
cron démon d'horloge (messages crond et atd)
démon messages des démons système sans installation distincte
kern messages du noyau
local0 – local7 réservé à un usage local
lpr sous-système d'imprimante en ligne
courrier messages des démons de messagerie
actualités Sous-système de nouvelles USENET
syslog messages générés en interne par le démon de journal système
utilisateur messages génériques au niveau de l'utilisateur
uucp Sous-système UUCP

Priorité

La priorité d'un message signifie l'importance de ce message. Le tableau ci-dessous répertorie les priorités standards et leurs significations :

Priorité Description
urgence le système est inutilisable
alerte une action doit être entreprise immédiatement
critique conditions critiques
erreur conditions d'erreur
avertissement conditions d'avertissement
avis importance normale mais significative
infos messages d'information
débogage messages de débogage
Présentation des options de filtre rsyslog

Rotation des journaux

Les fichiers journaux augmentent régulièrement au fil du temps et doivent donc être coupés régulièrement. Linux fournit un utilitaire pour fournir cette fonctionnalité sans intervention de l'utilisateur. La logrotation programme peut être utilisé pour automatiser la rotation des fichiers journaux. La configuration de base de logrotate se fait dans le fichier de configuration /etc/logrotate.conf . Dans le fichier de configuration, nous pouvons définir des options telles que la fréquence de rotation des journaux et le nombre d'anciens journaux à conserver. 

# cat /etc/logrotate.conf
weekly
rotate 4
create
include /etc/logrotate.d
/var/log/wtmp {
    monthly
    minsize 1M
    create 0664 root utmp
    rotate 1
}

Conformément au fichier de configuration logrotate ci-dessus, les journaux sont tournés chaque semaine (en renommant le journal existant en filename.number order) :
minsize 1M – logrotate exécute et découpe les fichiers de messages si la taille du fichier est égale ou supérieure à 1 Mo.
rotate 4 – conserver les 4 fichiers les plus récents pendant la rotation.
créer - créer un nouveau fichier lors de la rotation avec l'autorisation et la propriété spécifiées.
inclure – inclure les fichiers mentionnés ici pour les paramètres de rotation des journaux spécifiques au démon.

# ls -l /var/log/messages*
-rw------- 1 root root   1973 Jun 10 15:07 /var/log/messages
-rw------- 1 root root  10866 Jun  6 04:02 /var/log/messages.1
-rw------- 1 root root  19931 May 30 04:02 /var/log/messages.2
-rw------- 1 root root 238772 May 23 04:02 /var/log/messages.3
-rw------- 1 root root 171450 May 14 18:29 /var/log/messages.4

– Le démon logrotate lit principalement toute la configuration à partir du fichier /etc/logrotate.conf et inclut ensuite les fichiers de configuration spécifiques au démon à partir de /etc/logrotate.d/ répertoire.
– Le démon logrotate, ainsi que la rotation et la suppression des anciens journaux, permet la compression des fichiers journaux.
– Le démon s'exécute quotidiennement à partir de /etc/cron.daily/logrotate.

Journal

– Les systèmes RHEL sont également livrés avec des packages logwatch.
– Logwatch est utilisé pour analyser les journaux afin d'identifier tout message intéressant.
– Logwatch peut être configuré pour analyser les fichiers journaux des services populaires et envoyer les résultats par e-mail à l'administrateur.
– Il peut être configuré sur une base horaire ou nocturne pour toute activité suspecte. Par défaut, dans un système RHEL, il est exécuté la nuit et le rapport est envoyé à l'utilisateur root.

Comprendre les modèles rsyslog


Linux

  1. Trouver le fichier journal de Firefox ?

  2. 7 étapes pour créer un package RPM à partir de la source sur CentOS / RedHat

  3. CentOS / RHEL 7 :Guide du débutant sur le pare-feu

  4. Guide du débutant pour le montage automatique des systèmes de fichiers dans CentOS / RHEL

  5. Guide du débutant sur NFS dans CentOS / RHEL

Un guide pour débutants sur LVM

Un guide du débutant sur les tâches Cron

Guide du débutant pour le réglage des profils dans CentOS/RHEL

Guide du débutant pour l'administration des utilisateurs et des groupes sous Linux

Messages d'erreur "Abandonner la commande émise nexus" dans le fichier /var/log/messages

logrotate ne compresse pas /var/log/messages