Sistēmas reģistrēšana Linux. syslogd dēmona konfigurācijas fails Tīkla reģistrēšana
Visbiežāk izmantoto UNIX/LINUX dēmonu saraksts operētājsistēmā Windows tiek saukts par pakalpojumiem, kurus var izmantot dažādās UNIX/LINUX modifikācijās. UNIX/LINUX dēmonu nosaukumi bieži beidzas ar burtu d kā angļu valodas saīsinājums. dēmons Varat pārbaudīt, vai process/dēmons darbojas, izmantojot komandu top vai ps aux.
Zemāk ir saraksts ar visbiežāk sastopamo dēmonu nosaukumiem un to vārdiem Īss apraksts. Tālāk norādītais UNIX/LINUX dēmonu saraksts nav pilnīgs/izsmeļošs, un jūsu UNIX/LINUX sistēmā var būt viens, visi vai vairāki no tiem, vai tie var nebūt, atkarībā no jūsu UNIX/LINUX sistēmas versijas/tipa/modifikācijas/konfigurācijas un instalētās sistēmas. tajā ir programmatūra.
| Process/Dēmons | Procesa/dēmona apraksts |
| auditd | auditd ir Linux sistēmu audita komponents. Uztur diskā audita žurnālu, kuru var apskatīt, izmantojot ausearch un aureport komandas. Auditctl komanda ļauj konfigurēt audita noteikumus. Turklāt startēšanas laikā tiek ielādēti noteikumi, kas ietverti failā /etc/audit.rules. Dažus paša dēmona parametrus var konfigurēt failā auditd.conf. |
| skābs | acpid (ACPI notikumu dēmons) - dēmons reaģēšanai uz ACPI notikumiem, piemēram, reaģēšanai uz barošanas pogas nospiešanu vai klēpjdatora vāka aizvēršanu. Enerģijas pārvaldība un mijiedarbība starp Linux un BIOS, izmantojot ACPI (Advanced Configuration and Power Interface) un APM. ACPI "miega" režīmi: S1 - viss guļ, CPU minimālās aktivitātes režīmā; S3 - "Suspend to RAM" - viss iet gulēt, CPU izslēdzas; S4 - "Apturēt uz diska" stāvokļa izgāztuve tiek saglabāta diskā, sistēma tiek izslēgta, pēc ieslēgšanas sistēma tiek atjaunota no iepriekšējās vietas; S5 - programmatūras izslēgšana. http://acpid.sourceforge.net/ |
| atd | izpilda darba rindu (1) |
| autofs | Automount tabulas formāts. Automātiskās pievienošanas kartes var būt faili vai NIS tabulas, uz kurām atsaucas galvenā automātiskās pievienošanas tabula (skatiet auto.master(5)). Tabulās ir aprakstīta atrašanās vieta failu sistēmas, kas tiek automātiski piestiprināti pie bāzes stiprinājuma punktiem (iestatīti failā auto.master). Šajā dokumentā ir aprakstīts saules tabulas formāts; citiem formātiem (piemēram, hesiods) šis dokuments nav piemērojams. Tabulas var rediģēt lidojuma laikā - šīs izmaiņas tiks ņemtas vērā nākamajā darbībā ar šo tabulu, taču tas neattiecas uz galveno tabulu auto.master! |
| biod | Darbojas kopā ar attālo nfsd, lai atrisinātu NFS klientu pieprasījumus. |
| tirgotājs | Certmonger dēmons uzrauga un pārbauda sertifikātu derīguma termiņu, kā arī var pēc izvēles atjaunot sertifikātus, izmantojot CA. Tas var pārvaldīt visu reģistrācijas procesu no atslēgas ģenerēšanas līdz reģistrācijai un atjaunošanai. |
| cgconfig | Šis skripts palaiž cgconfigparser utilītu, kas parsē un konfigurē vadības grupas failu sistēmu (cgroup). Analīzei tiek izmantots konfigurācijas fails /etc/cgconfig.conf un tajā definētie parametri. |
| cgred | Dēmons, kas pārvalda cgroup noteikumus :) |
| cpufreq | Skripts ielādē kodola moduļus, lai kontrolētu procesora frekvenci. |
| cpuspeed | Maina CPU frekvenci, lai taupītu enerģiju. Daudzi mūsdienu klēpjdatori un galddatori atbalsta šo tehnoloģiju. To var izmantot lietotāji ar Pentium-M, Centrino, AMD PowerNow, Transmetta, Intel SpeedStep, Athlon-64, Athlon-X2, Intel Core 2 procesoriem.Klēpjdatoru lietotājiem ieteicams atstāt šo dēmonu iespējotu. Atspējojiet šo dēmonu, ja vēlaties, lai centrālais procesors izmantotu fiksētas frekvences vērtību. |
| cronds | |
| cupsd | Drukas serveris. Tāpat kā piekļuve attāliem printeriem, piekļuve vietējiem, piekļuve no ārpuses vietējiem. |
| dbus | Starpprocesu sakaru sistēma ( Plašāks CORBA un DCOP analogs) |
| dbus-dēmons | Dēmons darbam ar datu kopni |
| dhcpd | Dēmons dinamiskai TCP/IP konfigurācijas noteikšanai klientiem. |
| dnsmasq | Dēmons, kas kešatmiņā saglabā DNS nosaukumus un nodrošina DHCP serveri. |
| earlysyslog | Syslog dēmona palaišana nodrošina reģistrēšanu. |
| agrixdm | X servera startēšana |
| skaņas | Skaņas dēmons ar atbalstu attālai piekļuvei skaņas kartei |
| esd | Skaņas serveris Enlightenment logu pārvaldniekam un GNOME videi. ESD sajauc vairāku vienlaikus darbojošos programmu audio straumes un izvada iegūto straumi uz skaņas karti. Pieder esound pakotnei. |
| fam | FAM ( Failu izmaiņu monitors) - failu maiņas monitors. FAM dēmonu izmanto darbvirsmas vides, piemēram, GNOME, Xfce un KDE, lai izsekotu un parādītu failu sistēmā veiktās izmaiņas. Iekļauts ģimenes komplektā. Ir apraksts vietnē wiki.archlinux.org. |
| ventilatora kontrole | CPU dzesētāja griešanās ātruma kontrole. Daļa no lm_sensors. |
| fbset | Skripts, kas nepieciešams, lai kadru buferis darbotos. Konfigurē tā darbību, ieskaitot kodola moduļu ielādi. |
| festivāls | Dēmons, kas ļauj darboties teksta lasīšanas programmām. |
| pirksts | Nodrošina tīkla saskarni pirkstu protokolam lietošanai ar pirkstu komandu. |
| firstboot | Pakalpojums ir paredzēts tikai Fedora. Tas darbojas tikai vienu reizi pēc instalēšanas, lai veiktu iestatīšanu pēc instalēšanas (saknes paroles iestatīšana, lietotāju pievienošana utt.). Pēc sistēmas instalēšanas to var atspējot. |
| ftpd | Pakalpojums failu pārsūtīšanai, izmantojot FTP protokolu. |
| funkcijas | Viens no Arch Linux sistēmas inicializācijas skriptiem. Tas apraksta funkcijas, kas ignorē vērtības, kas tiek izmantotas, ielādējot 3. izpildes līmenī. Skripts tiek izmantots tikai tad, ja lietotājs izmanto 5. izpildes līmeni. Tā ir daļa no initscripts. |
| gpm | Peļu serveris konsolei un xterm. Iekļauts tāda paša nosaukuma iepakojumā. |
| gpsd | Interfeiss saziņai ar GPS aprīkojumu. Lielākā daļa lietotāju var to izslēgt. |
| Haldemons, hal | HAL apzīmē Hardware Abstraction Layer. Svarīgs pakalpojums informācijas vākšanai par aprīkojumu no dažādi avoti. Ieteicams to atstāt iespējotu. |
| apstāties | Izslēgšanas un atsāknēšanas skripts. |
| apturēt.vietējais | Skripts, kura komandas jāizpilda pirms izslēgšanas vai atsāknēšanas. |
| vesels | Iestata mātesplates/procesora darba temperatūras diapazonu un dzesētāja ātrumus. Tā ir viena no lm_sensors sastāvdaļām. |
| heimdal-kdc | Atslēgu izplatīšanas centrs. Iekļauts heimdal iepakojumā. |
| httpd | Apache tīmekļa servera dēmons. |
| tajā | Unix programma, kas rada visus citus procesus. Pēc noklusējuma init dēmonam ir 7 izpildes līmeņi, no kuriem katrs palaiž iepriekš noteiktu sistēmas pakalpojumu kopu. Skrējiena līmeņi: Sīkāka informācija par izpildes līmeņiem: less /etc/inittab |
| inetd | Pārrauga tīkla pieprasījumus. Ja pieprasījums ir derīgs, tiek sākts fona process pieprasījuma apkalpošanai. Dažas sistēmas izmanto paplašinātu versiju - xinetd |
| iptables | Standarta ugunsmūris operētājsistēmā Linux. Īpaši ieteicams priekš tiešs savienojums internetam (caur kabeli, DSL, T1). Nav ieteicams, ja papildus izmantojat aparatūras ugunsmūri (Netgear, Linksys, D-Link utt.). |
| ip6tables | Pakalpojums iptables darbojas, izmantojot IPv6 protokolu. Ja esat atspējojis IPv6 atbalstu, šis pakalpojums ir jāatspējo. Pretējā gadījumā ieteicams to atstāt iespējotu. |
| irda | IrDA ir nepieciešama, lai atbalstītu ierīces, kas darbojas, izmantojot infrasarkano ( portatīvie datori, plaukstdatori, mobilie tālruņi, kalkulatori (tulkotāja piezīme: kalkulatori? o_O), utt. Lielākā daļa lietotāju var to izslēgt. |
| irexecd | Dēmons infrasarkanajam staram. Nāk ar lirc-utils. |
| irqbalance, irq_balancer | Daudzprocesoru sistēmās to izmanto, lai sadalītu pārtraukumus starp procesoriem. Lietotāji, kuriem nav daudzprocesoru datoru/klēpjdatoru, var atspējot šo dēmonu/pakalpojumu. Šī pakalpojuma iespējošana datorā ar vienu procesoru nedos nekādu efektu. Jaunos datoros ar vairāk nekā vienu procesoru (Intel Core 2 Duo, AMD X2) šis pakalpojums ir jāiespējo. |
| ivman | Dēmons ir atbildīgs par ierīču automātisku pievienošanu sistēmā (CD, USB diskdziņi utt.) |
| ligzda, ligzda-audio savienojuma komplekts | Audio serveris |
| jexec | Nodrošina atbalstu lietojumprogrammu palaišanai un palaišanai Java - JAR. Būs pieejams, ja instalējat Java no Sun. Tas nav obligāti, un to var atspējot. |
| kursorsviru | Skripts, kas ielādē kodola moduļus, lai kursorsvira darbotos. |
| kadmind | Dēmons kontu, kuriem ir piekļuve Kerberos datubāzei, un to piekļuves līmeņa noteikšanai. Tā ir viena no heimdal paketes sastāvdaļām. |
| kdump | kdump — parāda kodola izsekošanas datus. Komanda parāda kodola izsekošanas failus, kas izveidoti ar ktrace(1) cilvēka lasāmā formātā. Pēc noklusējuma tiek parādīts fails ktrace.out pašreizējā direktorijā. |
| kbd | Tastatūras iestatīšana virtuālajā terminālī. |
| kdm | KDM ( KDE displeja pārvaldnieks) ir viena no programmām kdebase pakotnē ( iekļauts KDE), kas nodrošina iespēju pieteikties, izmantojot grafisko interfeisu. |
| kpasswd | Dēmons paroļu maiņai Kerberos. Tā ir viena no heimdal paketes sastāvdaļām. |
| ksysguardd | KDE dēmons sistēmas uzraudzībai. |
| libvirtd | Dēmons QEMU viesu iekārtu un tīklu pārvaldībai. |
| libvirt-viesi | Skripts, kas sūta viesu operētājsistēmas miega režīmā, kad tās tiek izslēgtas, un pamodina tās ielādes laikā. |
| lircd | LIRC dēmons atšifrē signālus, kas nāk no infrasarkanā porta. Nāk ar lirc-utils. |
| lircmd | LIRC dēmons, kas tulko peles signālus. Nāk ar lirc-utils. |
| lvm2-monitors | Dēmons LVM (Loģiskā apjoma pārvaldība) uzraudzībai. Ieteicams, ja izmantojat LVM, pretējā gadījumā atstājiet to atspējotu. |
| lpd | “Line Printer Daemon” - protokols tiek izmantots, lai pārvaldītu drukas spoli. |
| mdadm | Dēmons uzrauga MD ierīces (programmatūras RAID operētājsistēmā Linux). |
| mdmonitor un mdmpd | Šie divi dēmoni tiek izmantoti uzglabāšanas sistēmās ar RAID masīviem (lētu/neatkarīgu disku lieks masīvs). Mdmonitor sāk, aptur un restartē mdadm (vairāku ceļu ierīču uzraudzība un pārvaldība), RAID uzraudzības un pārvaldības programmatūras pakalpojumu. Šis pakalpojums ir jāpalaiž tikai tad, ja jūsu sistēmā ir RAID ierīces. |
| ziņu autobuss | Starpprocesu sakaru pakalpojums operētājsistēmai Linux. Kritiskā sastāvdaļa jo tas ir savienots ar D-BUS. Ir ļoti ieteicams atstāt to iespējotu. |
| microcode_ctl, microcode.ctl | Pakalpojums, kas ļauj atjaunināt Intel procesora programmaparatūru (Pentium Pro, PII, Celeron, PIII, Xeon, Pentium 4 un tā tālāk). Atjauninājumi tiek ierakstīti katru reizi, kad lejupielādējat. Jāiespējo tikai tad, ja jums ir Intel procesors. |
| mcelog, mcelogd | Lai pārraudzītu aparatūras problēmas 64 bitu Linux versijās, ir ērti izmantot mcelog pakotni, kas analizē MCE (Machine Check Exception) statusu AMD un Intel CPU, kas var norādīt uz problēmām ar atmiņu un CPU kešatmiņu, datu apmaiņas kļūdām starp CPU un mātesplates mikroshēmojumu. |
| mpd | Mūzikas atskaņotāja dēmons - mūzikas atskaņotājs kam ir klienta-servera arhitektūra, kas atskaņo mūziku no noteikta direktorija. |
| daudzceļu | Izmanto, lai uzraudzītu Multi-Path ierīces, tas ir, diskus, kuriem var piekļūt vairāk nekā viens kontrolleris vai metode. |
| mysqld, mysql | MySQL datu bāzes dēmons |
| nfsd | NFS operatora pieprasījuma process klientu sistēmām. Vēsturiski katrs nfsd dēmons vienlaikus atbalsta vienu pieprasījumu, tāpēc tiek palaistas vairākas kopijas. |
| tīkla konsole | Ļauj eksportēt konsoli uz citu datoru tīklā. Pēc noklusējuma var būt atspējota. |
| netfs | Sāknēšanas laikā tas automātiski montē tīklā pieejamās failu sistēmas ( NFS, Samba un citi). Lielākā daļa galddatoru un/vai klēpjdatoru lietotāju var to izslēgt. |
| tīklu | Dēmons, kas atbild par lokālā tīkla saskarņu (LAN) izveidi un konfigurēšanu |
| tīkla tālvadības pultis | Tas pats, kas iepriekšējais, bet papildus paaugstina bezvadu saskarnes |
| nfs, nfslock | Pakalpojumi nodrošina standarta tīkla failu sistēmu Unix/Linux un BSD operētājsistēmām. Ja jums ir jāatver piekļuve, izmantojot NFS, atstājiet to iespējotu, pretējā gadījumā varat to izslēgt. |
| nginx | nginx ir tīmekļa serveris un pasta starpniekserveris, kas darbojas Unix līdzīgās operētājsistēmās. |
| nmbd | Tiek izmantota samba. Skatiet Samba zemāk. |
| nscd | Servera dēmons, kas kešatmiņā saglabā vārdus un paroles, ko izmanto tādi pakalpojumi kā NIS, NIS+, LDAP, hesiod. Var izslēgt. |
| nslcd | vietējais LDAP nosaukumu pakalpojuma dēmons. |
| ntpd | NTP dēmons, kas pārvalda laika sinhronizāciju tīklā. xntpd ir aprīkots ar NTP standarta 3. versiju. |
| ntpdate | |
| oddjobd | Oddjobd dēmons nodrošina pakalpojumu com.redhat.oddjob sistēmas mēroga ziņojumu kopnē. Katra iespēja, ko nodrošina oddjobd, tiek nodrošināta kā atsevišķa D-Bus metode. |
| openntpd | Serveris un klients laika sinhronizēšanai. |
| openvpn | Nodrošina drošu metodi VPN izveidei. Priekš Papildus informācija skatiet OpenVPN. Var tikt atspējota, ja to neizmanto NetworkManager. |
| pcmcia | Nodrošina atbalstu pcmcia standarta paplašināšanas kartēm. Parasti izmanto tikai klēpjdatoros. |
| pcscd | Nodrošina atbalstu karšu lasītājiem un viedkartēm. Ja jums nav karšu lasītāja vai viedkaršu, varat izslēgt šo pakalpojumu. Bieži pieejams klēpjdatoros. |
| ostas rezervāts | Novērš piekļuvi reāliem portiem dažādiem RPC pakalpojumiem un piešķir prioritāti rezervētajām lietojumprogrammām. Sīkāku informāciju var atrast portreserve man lapā. Ieteicams to atstāt iespējotu. |
| strāvas padeves pārtraukums | Šis skripts tiek palaists, kad tiek atklāti ziņojumi no UPS |
| postfix | Postfix pasta pārvaldības programma |
| pppd | Point-to-Point protokola dēmons |
| lpp | Skripts darbam ar pppd dēmonu. |
| psact | Pārvalda Linux kodola procesus. Nodarbojas ar uzraudzību. |
| tīrīšanas kodoli | Skripts priekš automātiska dzēšana veci kodoli ( konfigurēts mapē /etc/zypp.conf) |
| quota_nld | kvotas tīkla saites ziņojumu dēmons |
| neapstrādāts | Skripts ielādē neapstrādātus ierīces moduļus. |
| rdisc | Tīkla vārtejas atklāšanas dēmons, rdisc, darbojas kā ICMP vārtejas atklāšanas protokola klients. rdisc tiek izsaukts sāknēšanas laikā, lai iegūtu tīkla maršrutēšanas tabulas ar noklusējuma vārtejām. |
| datums | pakalpojums ir nepieciešams, lai palaišanas laikā sinhronizētu datoru ar laika serveri operētājsistēma. Var atspējot. |
| atjaunot stāvokli | Izmanto, lai atjaunotu kontekstu un uzraudzītu SELinux politiku, kas saistīta ar failiem. Pakalpojums nav nepieciešams, bet ieteicams, izmantojot SELinux. |
| rngd | rngd — pārbaudiet un ievadiet nejaušus datus no aparatūras ierīces uz kodola izlases ierīci. Burtiski to var tulkot kā dēmonu, kas pārbauda un saņem nejaušus datus no aparatūras ierīcēm nejaušo ierīču kodolam - cik tas ir gudrs :), nejaušo skaitļu ģeneratora dēmons, krieviski nejaušu skaitļu ģenerēšanas dēmons. |
| rpcbind | Dēmons citu pakalpojumu (piemēram, NFS vai NIS) izmantoto RPC pārvaldībai. Darbojas līdzīgi kā portmap. Var atspējot, ja nav citu no tā atkarīgu pakalpojumu. |
| rpcgssd, rpcidmapd, rpcsvcgssd | Tiek izmantota NFS v4 (tīkla failu sistēma). Atspējojiet, ja jums nav nepieciešama NFS v4. http://ru.wikipedia.org/wiki/Network_File_System |
| rsyslog | rsyslog kalpo ērtai sistēmas žurnālu apkopošanai un apstrādei un pozicionē sevi kā paplašinātu syslogd moduli Unix sistēmas un Linux, kas koncentrējas uz drošību un uzticamību, un tai ir arī uzlabota vairāku pavedienu sistēma. Rsyslog piedāvā plašu funkciju klāstu, ko var atrast, noklikšķinot uz saites - RSyslog iespējas. http://www.rsyslog.com/module-Static_Docs-view-f-features.html.phtml |
| rsync | rsync ( Attālā sinhronizācija) ir programma UNIX līdzīgām operētājsistēmām, kas sinhronizē direktorijus un failus vairākās vietās, vienlaikus samazinot trafiku, nepieciešamības gadījumā izmantojot datu kodējumu. rsync tika izveidots kā rcp un scp aizstājējs. Lasīt vairāk... |
| saslauthd | SASL autentifikācijas servera dēmons. SASL ( Vienkāršs autentifikācijas un drošības slānis) nodrošina iespēju autentificēties protokolos, kuru pamatā ir attālie savienojumi. |
| samba, smbd | Samba servera dēmons. |
| Nosūtīt pastu | Nodrošina atbalstu lokālajam IMAP vai POP3 pakalpojumam, atstājiet to iespējotu. Pakalpojums var būt noderīgs, lai informētu par dažādu dēmonu/pakalpojumu darbību, ko var nodrošināt caur cron vai sūtot pastu no PHP skriptiem. |
| sensord | Dēmons no lm_sensors apkopo informāciju no dažādiem sensoriem. |
| sensori | Skripts, kas, ja nepieciešams, ielādē nepieciešamos kodola moduļus darbam ar lm_sensors. |
| krasta siena | Skripts showall ugunsmūra pārvaldīšanai. |
| slaids | Pieteikšanās pārvaldnieks X's. |
| smartd | SMART dēmons uzrauga diskus. Izmanto, lai prognozētu kļūmes un uzraudzītu disku vai cietā diska problēmas. Parasti lietotājiem šis dēmons nav vajadzīgs, taču joprojām ir ieteicams (īpaši serveriem) atstāt to iespējotu. |
| kāds | SAMBA dēmons ir nepieciešams, lai atvērtu kopējo piekļuve tīklam uz failiem operētājsistēmā Linux Windows lietotāji. Jāiespējo, ja jūsu tīklā ir Windows iekārtas, kurām ir jādod piekļuve failiem. |
| smolts | Dēmons, kas katru mēnesi sūta informāciju, lai apkopotu statistiku, lai palīdzētu izstrādātājiem. Statistika ir pieejama ikvienam. Lietotājiem, kuri vēlas palīdzēt izstrādātājiem, ir jāiespējo šis pakalpojums. |
| snmpd, snmptrapd | Nodrošiniet SNMP atbalstu ( Vienkāršs tīkla pārvaldības protokols), ko var izmantot, lai pārvaldītu un konfigurētu tādas ierīces kā tīkla centrmezgli, serveri, printeri utt. un tā tālāk. Var atspējot, bet var būt nepieciešams, lai palaistu HP drukas pakalpojumus ( hplip). |
| kalmārs | Kalmāru starpniekservera dēmons. |
| sshd | Uzklausa drošu čaulas pieprasījumus no klientiem. SSH ļauj citiem lietotājiem pieteikties tīklā no cita datora un palaist lietojumprogrammas jūsu datorā, ko parasti izmanto attālinātai administrēšanai. Tas varētu būt potenciāls drošības risks. Darbstacijās, kurām nav nepieciešama attālā piekļuve, ieteicams to izslēgt. |
| sssd | SSSD ( Sistēmas drošības pakalpojumu dēmons) ļauj piekļūt attālās autentifikācijas mehānismiem. Tas izjauc robežu starp tīklu un vietējo autentifikāciju un ļauj izmantot dažādus mehānismus. Informāciju par lietotājiem pārraida datu bāze, ko sauc par domēnu, un tā var būt datu avots attālinātai autentifikācijai. Ir atļauti vairāki mehānismi, kas ļauj vairākiem serveriem ieviest dažādas nosaukumvietas. Saņemtā informācija tiek sniegta ārējām lietojumprogrammām, izmantojot standarta NSS un PAM saskarnes. SSSD darbojas kā pakalpojumu kopums, kas ir neatkarīgi no lietojumprogrammas, kas tos izsauc, tāpēc lietojumprogrammām nav jāuzsāk savi savienojumi ar attāliem domēniem, kā arī nav jāzina, kurš dēmons/pakalpojums tiek izmantots. Grupas informācijas un identitātes datu lokālā kešatmiņa ļauj neatkarīgi no datu avota ( LDAP, NIS, IPA, DB, Samba utt.) turpināt strādāt bezsaistē, kas kopumā uzlabo produktivitāti. SSSD var atļaut vairākus viena veida pakalpojumu sniedzējus ( piemēram, LDAP). |
| svnserve | svn servera dēmons. |
| sysstat | Sysstat pakotnē ir utilītas sistēmas veiktspējas un izmantoto resursu pārraudzībai. |
| mijmaiņa | Kopē lokālo procesu mijmaiņas vietā, lai labotu kodola fiziskās atmiņas lapu. To sauc arī par schedu. |
| syslogd | Sistēmas process dažādu sistēmas ziņojumu ierakstīšanai. |
| sinhronizēt | Periodiski sinhronizējas ar sistēmas atmiņa izveidota sistēmas faili. |
| syslog-ng | Dēmons uztur sistēmas žurnālus. |
| udev-post | Sistēmas ierīču pārvaldnieks, ko izmanto udev. Pēc noklusējuma udev atbalsta lielu skaitu ierīču noteikumu, darbības un atļauju. Izmantojot šo pakalpojumu, varat droši pārvaldīt noteikumus. Ieteicams to atstāt iespējotu. |
| vhand | Atbrīvo atmiņas lapas izmantošanai citos procesos. Zināms arī kā "lapu zagšanas dēmons". |
| vsftpd | vsftpd ( Ļoti drošs FTP dēmons - ļoti drošs FTP dēmons) - FTP serveris, kas atbalsta IPv6 un SSL. vsftpd pēc noklusējuma tiek izmantots daudzās UNIX līdzīgās operētājsistēmās, tas apkalpo arī oficiālos repozitorijus ftp.openbsd.org, ftp.freebsd.org, ftp.debian.org, ftp.redhat.com un tiek izmantots oficiālajā Linux kodolā FTP. serveris. |
| webmin | Sistēmas pārvaldības pakalpojums, izmantojot pārlūkprogrammu ( tīmekļa saskarne). |
| winbind | Pakalpojums, kas palīdz atšķirt tīklā datoru nosaukumi zem Windows vadība. Var izmantot, lai kontrolētu konti Windows ar Linux kontiem. Parasti lielākajai daļai lietotāju šis dēmons nav vajadzīgs, un viņi var to atspējot. |
| wpa_supplicant | Pakalpojums ir nepieciešams darbam bezvadu kartes, kas tiek izmantoti, lai izveidotu savienojumu ar piekļuves punktiem ( VPN vai Radius serveri) nepieciešama WPA šifrēšana. Lielākā daļa lietotāju var to atspējot. |
| xfsd | Apkalpo X11 fontus attāliem klientiem. |
| jamss | pakalpojums sistēmā instalēto RPM pakotņu atjaunināšanai. Izmanto galvenokārt Fedora Core. |
| ypbind | Pakalpojums tiek izmantots NIS autentifikācijai tīklā. Ja NIS autentifikācija netiek izmantota, varat to atspējot. |
| zvbid | Pakalpojums, kas nodrošina piekļuvi no V4L vai V4L2 ierīcēm vairākām lietojumprogrammām. Piemēram, karte Hauppage tveršanai var izmantot šo pakalpojumu, citos gadījumos to var izslēgt. |
Ja iepriekš minētais UNIX/Linux dēmonu/pakalpojumu saraksts nedarbojas jūsu sistēmā, tad, lai saņemtu palīdzību par šādu pakalpojumu izmantojiet man name_daemon, un ja tur nav informācijas par darbojošos servisu, tad raksti komentāros un kopā mēs apkoposim informāciju par šādu pakalpojumu un papildināsim šeit sniegto UNIX/Linux dēmonu/pakalpojumu sarakstu.
Ja man name_daemon help nav pakalpojuma apraksta, tad dēmons/pakalpojums var būt vīruss, šajā gadījumā meklējiet izpildāmo failu whereis name_daemon un nosūtiet to analīzei uz vīrusu laboratoriju - to var izdarīt, neinstalējot pretvīrusu, izmantojot tīmekļa saskarni, piemēram, http://vms.drweb.com/online/, http://www. esetnod32.ru/.support/scanner/ vai https://www.virustotal.com/.
UNIX/LINUX dēmonu/pakalpojumu automātiskā ielāde
Zemāk ir detalizētas instrukcijas lai pārvaldītu dēmonu/pakalpojumu palaišanu visizplatītākajās UNIX līdzīgo OS modifikācijās/versijās, piemēram, CentOS Linux, Debian Linux un BSD tipa OS. Citās UNIX līdzīgu OS modifikācijās/versijās dēmonu/pakalpojumu automātiskās ielādes pārvaldībai ir līdzīga procedūra, lai gan tai var būt nelielas vai pat radikālas atšķirības!
Dēmonu/pakalpojumu automātiska ielāde operētājsistēmā CentOS Linux
CentOS ir definējis slodzes līmeņus pēc System V principa un ir krāsoti /etc/inittab failā, lasiet mazāk /etc/inittab .
Katra slodzes līmeņa direktoriji ir nosaukti un atrodas direktorijā /etc/rc.d.
Katrā no direktorijiem, kas atbilst noteiktam slodzes līmenim, ir skripti vai drīzāk saites uz tiem ar instrukcijām dēmona/programmas/pakalpojuma palaišanai, un paši skripti ar instrukcijām dēmona/programmas/pakalpojuma palaišanai atrodas /etc direktorijā /rc.d/init.d
Skriptu piemēru, kas kontrolē dēmona/programmas/pakalpojuma palaišanu, var skatīt, palaižot mazāk /etc/rc.d/init.d/mysqld vai mazāku /etc/rc.d/init.d/sshd . Parasti skripti, kas kontrolē dēmona/programmas/pakalpojuma palaišanu, parādās mapē /etc/rc.d/init.d/ un ir saistīti ar izpildlīmeņa direktorijiem pēc programmatūras instalēšanas un to statuss ir izslēgts/ieslēgts katram skrējiena līmenim kontrolē utilīta chkconfig.
Varat redzēt, kuri dēmoni darbosies dažādos izpildes līmeņos, izmantojot komandu chkconfig --list. Varat iespējot dēmona automātisku palaišanu jebkurā no izpildes līmeņiem, izmantojot komandu chkconfig --level 345 mysqld on un attiecīgi izslēgt chkconfig --level 345 mysqld off, chkconfig –del service_ name, lai dzēstu pakalpojumu, chkconfig service_name on. |izslēgts, lai iespējotu vai atspējotu pakalpojumu visos līmeņos.
Kas attiecas uz skriptu pievienošanu startēšanai Priekš automātiska lejupielāde skriptus apkalpo /etc/rc.local, failā /etc/rc.local ir pietiekami pievienot skriptam pilnu ceļu, piemēram: /root/scripts/script.sh vai /bin/sh /root/scripts/script.sh . Ja pēc programmatūras instalēšanas mapē /etc/rc.d/init.d/ nav startēšanas vadības skripta vēlamo programmu, tad ir vieglāk pievienot tā inicializācijas/palaišanas rindiņu /etc/rc.local.
Ir utilīta ntsysv, lai pārvaldītu izpildes līmeņus, man ntsysv.
Dēmonu/pakalpojumu automātiska ielāde operētājsistēmā Debian Linux
Tiek nosaukti arī katra Debian Linux sāknēšanas līmeņa direktoriji rc0.d, rc1.d, rc2.d, rc3.d, rc4.d, rc5.d, rc6.d Bet, atrodas vairs nav /etc/rc.d direktorijā, bet /etc direktorijas saknē
Bija skripti ar instrukcijām dēmona/programmas/service palaišanai, vai drīzāk simboliskas saites uz tiem atrodas /etc/rc?.d direktorijās kur ir zīme? atbilst slodzes līmenim, un Paši skripti ar instrukcijām dēmona/program/service palaišanai atrodas direktorijā /etc/init.d. Šādas izlaišanas piemērs, uz kura pamata var rakstīt savu, ir atrodams failā less /etc/init.d/skeleton.
Tālāk mēs sniegsim paskaidrojumu par pakalpojumu informāciju, kas izmantota skripta veidnē /etc/init.d/skeleton:
- Nodrošina: Apraksta šī skripta nodrošinātos objektus (arg1, agr2, ...) tādā veidā, ka tad, kad skripts tiek palaists ar argumentu start, tiek uzskatīts, ka šie objekti eksistē un līdz ar to arī citi skripti init, kuriem nepieciešama šo esamība. objektus varēs sākt vēlīnā stadijā. Parasti kā objektu varat izmantot skripta nosaukumu, taču varat izmantot arī tā pakalpojuma nosaukumu, ko tas aizstāj. Virtuālie objekti šeit nav norādīti. Tie ir definēti ārpus init.d skriptiem
- Obligāti — sākums: Norāda objektus, kuriem ir jābūt, lai palaistu skriptu. Ja nepieciešams, varat izmantot virtuālos objektus, kā aprakstīts tālāk. Ja objekti nav norādīti, skriptu var palaist uzreiz pēc palaišanas, bez nepieciešamības savienot lokālās failu sistēmas, startēt sistēmas žurnālu utt.
- Obligāts-Stop: Norāda pakalpojuma izmantotos objektus, ko nodrošina skripts. Lai izvairītos no konfliktiem, šī skripta nodrošinātais objekts ir jāpabeidz pirms šeit uzskaitīto objektu pabeigšanas. Parasti šeit tiek norādīti tie paši objekti, kas sadaļā Required-Start
- Jāsāk: Norāda objektus, kuri, ja tādi pastāv, ir jāsāk pirms šī skripta nodrošinātā pakalpojuma. Tas pieļauj vājas atkarības, kas neizraisa pakalpojuma kļūmi, ja objekti nav pieejami. Ja nepieciešams, varat izmantot virtuālos objektus, kā aprakstīts tālāk.
- Vajadzētu apstāties: Norāda objektus, kas, ja tādi pastāv, ir jāaptur no šī pakalpojuma. Parasti šeit tiek norādīti tie paši objekti, kas iestatījumā Should-Start
- Noklusējuma sākums: Iestata izpildes līmeņus, kuros pēc noklusējuma jāsāk (aptur skripts). Piemēram, ja pakalpojums ir jāuzsāk tikai 3., 4. un 5. līmenī, norādiet "Noklusējuma sākums: 3 4 5" un "Noklusējuma apturēšana: 0 1 2 6".
- Īss apraksts: Norāda īsu skripta darbības aprakstu. Ierobežots ar vienu rindiņu.
- Apraksts: Norāda detalizētāku skripta darbības aprakstu. Var būt vairākās rindiņās, un tādā gadījumā katrai apraksta rindai jāsākas ar # rakstzīmi, kam seko tabulēšanas rakstzīme vai vismaz 2 atstarpes rakstzīmes. Apraksts beidzas pirms rindas, kas neatbilst šim nosacījumam.
- X-Start-Pirms, X-Stop-Pēc: Norāda apgrieztās atkarības, kurām ir tāda pati nozīme kā tad, ja tās šeit norādītajās pakotnēs būtu norādītas sadaļās should-start un should-stop.
Atslēgvārdi nodrošina, obligāti un vajadzētu ir svarīgi, lai izsekotu atkarības. Pārējie netiek izmantoti. Programma pēc noklusējuma izmanto izpildes līmeņus, lai organizētu skriptus ( piemēram, insserv), lai izsekotu, kurā direktorijā rc?.d atjaunināt, kad pakalpojums tiek pirmo reizi pievienots, un tam jāatspoguļo pakalpojuma mērķis. Šeit ir daži "virtuālie" objekti:
- $local_fs- Visas vietējās failu sistēmas ir savienotas. Visiem skriptiem, kas raksta /var/, ir jābūt atkarīgiem no tā, ja vien tie jau nav atkarīgi no $remote_fs
- $tīkls- zema līmeņa tīkls, t.i. tīkla kartes, var norādīt, ka darbojas PCMCIA
- $named- Tiek pieņemts, ka darbojas dēmoni, kas var nodrošināt domēna vārda izšķirtspēju. Piemēram, DNS, NIS+ vai LDAP
- $portmap- Dēmoni, kas nodrošina SunRPC/ONCRPC portu kartēšanas pakalpojumu, kā norādīts 1833. gadā (ja tādi ir)
- $remote_fs- Visas failu sistēmas ir savienotas. Skriptiem, kas jāpalaiž sistēmas izslēgšanas laikā, pirms visiem procesiem tiek nosūtīts iznīcināšanas signāls, ir jābūt atkarīgiem no $remote_fs.
- $syslog- sistēmas žurnāls darbojas
- $laiks- ir iestatīts pareizais sistēmas laiks, piemēram, ntp vai date vai RTC
- $viss- Palaiž skriptu pēc iespējas ilgāk
Dēmona automātiskā ielāde operētājsistēmā Debian Linux tiek kontrolēta, izmantojot utilītu update-rc.d, kas detalizēti aprakstīts man update-rc.d . Utilīta update-rc.d neizveido un neizdzēš neko citu kā simboliskās saites mapē /etc/rc?.d uz tā sauktajiem init skriptiem, kas kontrolē dēmona/program/service sākumu un apturēšanu, kas atrodas /etc/init.d direktorijā.
Ja skripts dēmona/pakalpojuma automātiskai palaišanai tiek izveidots manuāli, izmantojot veidni /etc/init.d/skeleton, tad vispirms tas jāievieto /etc/init.d direktorijā, pēc tam jāizveido simboliska saite uz šo skriptu direktorijā /etc/rc?.d, kur? - izpildes līmeņa numurs ( sistēmas slodzes līmenis). Simboliskajai saitei vajadzētu izskatīties šādi: S№№script_name, kur Nr. ir palaišanas pasūtījuma numurs, ja vēlaties atstāt simbolisku saiti, bet īslaicīgi nepalaist skriptu, tad simboliskā saite ir jāmaina uz šo stāvokli KNo. skripta_nosaukums.
Pirms jebkura izpildes līmeņa apstrādes vispirms tiek izpildīti visi skripti, kas sākas ar burtu ". K" (šie skripti aptur pakalpojumus), un pēc tam tiek izpildīti visi skripti, kas sākas ar burtu " S" (šie skripti sāk pakalpojumus). Divciparu skaitlis aiz burta "S" vai "K" norāda secību, kādā skripti tiks izpildīti. Vispirms tiek izpildīti skripti ar mazāku skaitu, piemēram: S01script_name tiks palaists pirmais un S09script_name tiks palaists devītajā vietā.
Lai izveidotu simbolisku saiti, izmantojiet programmu ln -s fails1 fails2, Kur taustiņu -s runā par simboliskas saites izveidi, fails1 norāda uz esošu failu un fails2 jaunās saites nosaukumu, taču simbolisku saišu manuālas izveides vietā varat izmantot utilītu update-rc.d, kas ir īpaši izstrādāta simbolisku saišu izveidei failā /etc/rc?.d uz skriptiem no /etc/init. d.
Update-rc.d sintakse ir šāda: pievienošana ar noklusējuma parametriem update-rc.d
Atklāti sakot, update-rc.d ir salīdzinoši nepārredzama utilīta, Lietderība chkconfig ir ērtāka, kas pēc noklusējuma nav pieejams operētājsistēmā Debian Linux. Lai to instalētu, mums jāpievieno papildu krātuves, vēlams izmantot tikai oficiālās Debian Linux pakotņu krātuves, saraksta beigās vi /etc/apt/sources.list, piemēram, sources.list in Debian GNU/Linux 6.0.5 _Squeeze_ — Oficiālais i386:
# # deb cdrom:/ izspiest galveno deb cdrom:/ izspiest galveno deb http://security.debian.org/ squeeze/updates galvenais deb-src http://security.debian.org/ squeeze/updates galvenais # squeeze-updates , iepriekš zināms kā "gaistošs" # Instalēšanas laikā netika atlasīts tīkla spogulis. Sekojošie ieraksti # ir sniegti kā piemēri, taču jums tie attiecīgi jāgroza # par jūsu spogulis pēc izvēles. # # deb http://ftp.debian.org/debian/ squeeze-updates galvenais # deb-src http://ftp.debian.org/debian/ squeeze-updates galvenais deb http://backports.debian.org/ debian-backports squeeze-backports galvenais deb http://ftp.debian.org/debian/ izspiest galveno #deb http://repo.yandex.ru/debian squeeze galvenais ieguldījums #deb http://mirror.yandex.ru/ debian squeeze galvenais ieguldījums #deb http://mirror.yandex.ru/debian-multimedia/ izspiest galveno ieguldījumu
Pēc tam atjauniniet pakotņu sarakstu ar apt-get update un instalējiet chkconfig apt-get install chkconfig , un kā alternatīvu varat papildus instalēt sysv-rc-conf apt-get install sysv-rc-conf . Kā lietot utilītu chkconfig, tika minēts iepriekš, papildus skatiet man sysv-rc-conf un man chkconfig.
Pievienojot Debian Linux krātuves, ņemiet vērā programmatūras politikas, kas attiecas uz katru no jomām, piemēram, galveno, ieguldījumu un bezmaksas:
- galvenais: - Šajā apgabalā esošās pakotnes ir daļa no pilnīgas Debian Linux izplatīšanas, un nevienai no galvenās zonas pakotnēm nav nepieciešama programmatūra ārpus šīs zonas, lai tā pilnībā darbotos. Ikviens var brīvi izmantot, koplietot, modificēt un izplatīt pakotnes no galvenās zonas.
- ieguldījums: - Pakotnes no šī apgabala var brīvi izplatīt, taču dažas to atkarības var nebūt bezmaksas.
- nav bezmaksas: - satur pakotnes, kuras nevar izplatīt bez maksas saskaņā ar DSFG, un pakotnēs no apgabala var būt kļūdas, kas netiek ņemtas vērā, izstrādājot un atjauninot Debian Linux.
Lai automātiski palaistu citus skriptus un programmas Debian Linux, varat izmantot veco labo /etc/rc.local.
Sistēmas administratoriem un parastajiem Linux lietotājiem bieži ir jāaplūko žurnālfaili, lai novērstu problēmas. Patiesībā šī ir pirmā lieta, kas jādara jebkuram sistēmas administratoram, ja sistēmā rodas kāda kļūda.
Pati Linux operētājsistēma un darbojošās lietojumprogrammas ģenerē dažāda veida ziņojumus, kas tiek reģistrēti dažādos žurnālfailos. Linux žurnāla failu glabāšanai izmanto īpašu programmatūru, failus un direktorijus. Zinot, kuri faili satur kuru programmu žurnālus, palīdzēs ietaupīt laiku un ātrāk atrisināt problēmu.
Šajā rakstā apskatīsim galvenās Linux reģistrēšanas sistēmas daļas, žurnālfailus, kā arī utilītas, ar kurām var apskatīt Linux žurnālus.
Lielākā daļa failu Linux žurnāli atrodas mapē /var/log/. Varat uzskaitīt savas sistēmas žurnālfailus, izmantojot komandu ls:
Rw-r--r-- 1 saknes sakne 52198 10. maijs 11:03 alternatives.log
drwxr-x--- 2 saknes sakne 4096 14. novembris 15:07 apache2
drwxr-xr-x 2 saknes sakne 4096 25. aprīlis 12:31 apparmor
drwx------ 2 saknes sakne 4096 5.maijs 10:15 audits
-rw-r--r-- 1 saknes sakne 33100 10. maijs 10:33 boot.log
Tālāk mēs apskatīsim 20 dažādus Linux žurnālfailus, kas atrodas direktorijā /var/log/. Daži no šiem žurnāliem ir atrodami tikai noteiktos izplatījumos, piemēram, dpkg.log ir atrodami tikai uz Debian balstītām sistēmām.
/var/log/messages- satur globālos Linux sistēmas žurnālus, tostarp tos, kas tiek reģistrēti sistēmas startēšanas laikā. Šajā žurnālā tiek ierakstīti vairāku veidu ziņojumi: pasts, cron, dažādi pakalpojumi, kodols, autentifikācija un citi.
/var/log/dmesg- satur ziņojumus, kas saņemti no kodola. Sāknēšanas fāzē tiek reģistrēti daudzi ziņojumi, tiek parādīta informācija par aparatūras ierīcēm, kas tiek inicializētas sāknēšanas procesa laikā. Var teikt, ka šis ir vēl viens Linux sistēmas žurnāls. Ziņojumu skaits žurnālā ir ierobežots, un, kad fails ir pilns, ar katru jaunu ziņojumu vecās tiks pārrakstītas. Varat arī skatīt ziņojumus no šī žurnāla, izmantojot komandu dmseg.
/var/log/auth.log- satur informāciju par lietotāju autorizāciju sistēmā, tostarp lietotāju pieteikšanos un izmantotajiem autentifikācijas mehānismiem.
/var/log/boot.log- Satur informāciju, kas tiek reģistrēta sistēmas sāknēšanas laikā.
/var/log/daemon.log- Ietver ziņas no dažādiem fona dēmoniem
/var/log/kern.log- Satur arī ziņojumus no kodola, kas ir noderīgi, lai novērstu kļūdas kodolā iebūvētajos pielāgotajos moduļos.
/var/log/lastlog- Parāda informāciju par visu lietotāju pēdējo sesiju. Šis nav teksta fails, un, lai to skatītu, ir jāizmanto komanda lastlog.
/var/log/maillog /var/log/mail.log- sistēmā strādājošā e-pasta servera žurnāli.
/var/log/user.log- Informācija no visiem žurnāliem lietotāja līmenī.
/var/log/Xorg.x.log- X servera ziņojumu žurnāls.
/var/log/alternatives.log- Informācija par atjauninājumu-alternatīvu programmas darbību. Tās ir simboliskas saites uz noklusējuma komandām vai bibliotēkām.
/var/log/btmp- žurnāls Linux fails satur informāciju par neveiksmīgiem pieteikšanās mēģinājumiem. Lai skatītu failu, ir ērti izmantot komandu last -f /var/log/btmp
/var/log/cups- Visi ziņojumi, kas saistīti ar drukāšanu un printeriem.
/var/log/anaconda.log- šajā failā tiek saglabāti visi instalēšanas laikā ierakstītie ziņojumi
/var/log/yum.log- Reģistrē visu informāciju par pakotņu instalēšanu, izmantojot Yum.
/var/log/cron- Ikreiz, kad Cron dēmons sāk izpildīt programmu, tas šajā failā ieraksta atskaiti un ziņojumus no pašas programmas.
/var/log/secure- satur informāciju, kas saistīta ar autentifikāciju un autorizāciju. Piemēram, SSHd šeit reģistrē visu, tostarp neveiksmīgos pieteikšanās mēģinājumus.
/var/log/wtmp vai /var/log/utmp - Linux sistēmas žurnāli , satur lietotāju pieteikšanās žurnālu. Izmantojot komandu wtmp, varat uzzināt, kurš un kad ir pieteicies.
/var/log/faillog- žurnāls Linux sistēmas, satur neveiksmīgus pieteikšanās mēģinājumus. Izmantojiet faillog komandu, lai parādītu šī faila saturu.
/var/log/mysqld.log- Linux žurnālfaili no MySQL datu bāzes servera.
/var/log/httpd/ vai /var/log/apache2- linux11 Apache tīmekļa servera žurnālfaili. Piekļuves žurnāli atrodas failā access_log, un kļūdu žurnāli ir error_log
/var/log/lighttpd/ - Linux žurnāli lighttpd tīmekļa serveris
/var/log/conman/- ConMan klienta žurnālfaili,
/var/log/mail/- šajā direktorijā ir papildu pasta servera žurnāli
/var/log/prelink/- Prelink programma saista bibliotēkas un izpildāmos failus lai paātrinātu lejupielādes procesu. /var/log/prelink/prelink.log satur informāciju par .so failiem, kurus programma modificēja.
/var/log/audit/- Satur informāciju, ko ģenerējis pārbaudītais dēmons.
/var/log/setroubleshoot/ - SE Linux izmanto setroubleshootd dēmonu (SE Trouble Shoot Daemon), lai ziņotu par drošības problēmām. Šajā žurnālā ir ziņas no šīs programmas.
/var/log/samba/- satur informāciju un žurnālus no Samba failu servera, kas tiek izmantots savienojuma izveidei koplietotās mapes Windows.
/var/log/sa/- Satur Sysstat pakotnes savāktos .cap failus.
/var/log/sssd/- Izmanto sistēmas drošības dēmons, kas pārvalda attālināta piekļuve uz direktorijiem un autentifikācijas mehānismiem.
Žurnālu skatīšana operētājsistēmā Linux
Lai skatītu žurnālus operētājsistēmā Linux, ir ērti izmantot vairākas komandrindas utilītas Linux virknes. Tas varētu būt jebkurš teksta redaktors, vai īpaša lietderība. Visticamāk, jums būs nepieciešamas superlietotāja tiesības, lai skatītu žurnālus Linux. Šeit ir komandas, kas visbiežāk tiek izmantotas šiem nolūkiem:
- zgrep
- zmore
Es nestāstīšu par katru no šīm komandām, jo lielākā daļa no tām jau ir detalizēti apspriestas mūsu vietnē. Bet es minēšu dažus piemērus. Linux žurnālu skatīšana ir ļoti vienkārša:
Mēs skatāmies uz žurnālu /var/log/messages ar iespēju ritināt:
mazāk /var/log/messages
Skatīt Linux žurnālus reāllaikā:
tail -f /var/log/messages
Atveriet dmesg žurnāla failu:
cat /var/log/dmesg
Pirmās dmesg rindas:
head /var/log/dmesg
Mēs izvadām kļūdas tikai no /var/log/messages:
grep -i kļūda /var/log/messages
Turklāt jūs varat skatīt žurnālus operētājsistēmā Linux, izmantojot grafiskās utilītas. Sistēmas programma Log Viewer var izmantot, lai ērta apskate un uzraudzības sistēmas žurnālus klēpjdatorā vai personālais dators ar Linux.
Programmu var instalēt jebkurā sistēmā, kurā ir instalēts X serveris. Arī jebkuru grafisko testa redaktoru var izmantot, lai skatītu žurnālus.
secinājumus
Direktorijā /var/log var atrast visu nepieciešamo informāciju par Linux darbību. No šodienas raksta jūs esat iemācījušies pietiekami daudz, lai zinātu, kur meklēt un ko meklēt. Tagad žurnālu skatīšana operētājsistēmā Linux jums neradīs problēmas. Ja jums ir kādi jautājumi, jautājiet komentāros!
Katrs no iesācējiem Linux lietotājiem agrāk vai vēlāk saskaras ar dažām problēmām, uzstādot un organizējot savas sistēmas darbību. Un katrs no jaunpienācējiem gandrīz noteikti ir dzirdējis padomu no pieredzējušākiem lietotājiem: "Paskatieties uz žurnāliem." Padoms labs, bet iesācējam tomēr ir jāzina: kas ir baļķi un kur tos meklēt! Tāpēc šajā rakstā mēģināšu pastāstīt, ko un kur skatīties.Programmēšanas slengā “žurnāli” ir darba protokoli, kurus uztur gan pati operētājsistēma, gan neatkarīgi daudzas programmas. Vārds “žurnāls” šajā nozīmē bieži tiek lietots kā sinonīms vārdam “protokols”. Pastāv divas galvenās situācijas, kurās rodas nepieciešamība analizēt protokolu: kad kaut kas sistēmā nedarbojas, kā mēs gaidījām (problēmas risināšana), un kad ir aizdomas, ka sistēmu ir uzlauzis kāds uzbrucējs un mums ir nepieciešams uzziniet, kas tieši notika, kā tas tika darīts un kas jādara, lai novērstu iebrukuma sekas.
Viens no slavenākajiem žurnālfailu izmantošanas gadījumiem, lai atklātu uzbrucēja ielaušanos, ir stāsts par slavenā hakera Kevina Mitnika notveršanu, ko veicis datordrošības speciālists Tsuomo Šimomura. Šeit ir viena rindkopa no raksta, kurā aprakstīts, kā tas notika.
"Ziemassvētkos, kad Šimomura brīvdienās devās slēpot uz Nevadu, kāds (mēs jau zinām, kas tas bija) ielauzās viņa superdrošajā mājas dators Solana Beach, Kalifornijā, un sāka kopēt savus failus - simtiem klasificētu failu. Viens Sandjego Superskaitļošanas centra absolvents, kur strādāja Šimomura, pamanīja izmaiņas sistēmas "žurnāla" failos un ātri saprata, kas notiek. Tas viss bija iespējams, pateicoties tam, ka Šimomura savā datorā instalēja programmu, kas automātiski kopē “žurnālu” ierakstus rezerves datorā Sandjego. Students piezvanīja Šimomurai, kurš steidzās mājās, lai veiktu nozagto priekšmetu inventarizāciju.
Es šeit nestāstīšu visu, svarīgi ir tikai atzīmēt, ka sistēmas darbības protokolu analīze kalpoja par pamatu sekmīgai pārkāpuma izmeklēšanai. Sīkāku aprakstu par to, kā tiek veikta šāda izmeklēšana, varat atrast rakstā. Bet, lai varētu izmantot mežizstrādes rezultātus, ir jāsaprot, kā tiek veidoti protokoli, kur tie tiek glabāti un ko no tiem var izvilkt. Šis raksts ir veltīts visu šo jautājumu izskatīšanai.
Kā tiek ģenerēti protokola ziņojumi
Jāsāk ar to, ka, veidojot programmas C valodā, programmētājiem ir iespēja nepieciešamības gadījumā ievietot izsaukumus uz īpašām funkcijām openlog, setlogmask, syslog Un closelog, kas iekļauta C valodas standarta bibliotēkā. Šīs funkcijas tiek izmantotas, lai nosūtītu ziņojumus par noteiktiem notikumiem programmas izpildes laikā uz īpašu sistēmas dēmonu. syslogd, veicot sistēmas protokolu. Funkcija openlog nodibina saikni ar dēmonu syslogd, funkcija syslogģenerē konkrētu ziņojumu, kas jāieraksta protokolā un funkcijā closelog aizver atvērtu savienojumu.
Funkcijas ģenerētie ziņojumi syslog, sastāv no vairākiem laukiem, kas atdalīti ar atstarpēm. Katrs ziņojums sākas ar lauku PRI, kas kodētā veidā satur informāciju par ziņojuma kategoriju (iekārtu) un ziņojuma smaguma pakāpi (nopietnības līmeni) vai prioritāti (prioritāti).
Kategorija (iekārta) ir informācija par to, kurai klasei šis ziņojums pieder. Kategorija ir kodēta ar skaitli no 0 līdz 23. Pastāv šādas kategorijas (tās ir definētas failā /usr/include/sys/syslog.h):
1. tabula.
| Skaitliskā vērtība | Simbols | Dekodēšana |
| 0 | kern | Kodola ziņojumi |
| 1 | lietotājs | Paredzēts dažādiem ziņojumiem no lietotāju programmām.(ziņojumiem no lietotāja programmām) |
| 2 | pastu | Ziņojumi no pasta sistēma. |
| 3 | dēmons | Ziņojumi no tiem sistēmas dēmoniem, kuriem, atšķirībā no FTP vai LPR, nav īpaši tiem veltītu kategoriju. |
| 4 | aut | Viss, kas saistīts ar lietotāja autorizāciju, piemēram, pieteikšanās un su (drošība/piekļuves tiesības) |
| 5 | syslog | Reģistrācijas sistēma var reģistrēt ziņojumus no sevis. |
| 6 | lpr | Ziņojumi no drukas sistēmas. |
| 7 | ziņas | Ziņojumi no ziņu servera. (Netnews, USENET) |
| 8 | uucp | UNIX uz UNIX kopēšanas protokola ziņojumi. Tā ir daļa no UNIX vēstures, un, iespējams, jums tā nekad nebūs vajadzīga (lai gan daži pasts joprojām tiek piegādāti, izmantojot UUCP). |
| 9 | cron | Ziņojumi no sistēmas plānotāja. |
| 10 | authpriv | Tāpat kā autentifikācija, taču šīs kategorijas ziņojumi tiek ierakstīti failā, kuru var lasīt tikai daži lietotāji (iespējams, šī kategorija ir atlasīta, jo tai piederošajos ziņojumos var būt skaidras lietotāja paroles, kuras nedrīkst redzēt svešinieki, un tāpēc žurnālfailiem ir jābūt atbilstošas piekļuves tiesības). |
| 11 | ftp | Izmantojot šo kategoriju, varat konfigurēt savu FTP serveri tā, lai tas reģistrētu savas darbības. |
| no 12 līdz 15 | - | Rezervēts sistēmas lietošanai. |
| no 16 līdz 23 | vietējais0 - vietējais7 | Rezervētas kategorijas izmantošanai sistēmas administratoram. Vietējā7 kategorija parasti tiek izmantota ziņojumiem, kas tiek ģenerēti sistēmas sāknēšanas fāzē. |
Kategorija aut ir novecojis sinonīms nosaukums drošību, kas nav ieteicams. Turklāt ir īpaša kategorija atzīme(kam nav digitālā ekvivalenta), kas tiek piešķirts atsevišķiem ziņojumiem, ko ģenerē pats dēmons syslogd. Šī kategorija tiek izmantota, lai noteiktā laika intervālā (pēc noklusējuma ik pēc 20 minūtēm) protokolā ievietotu īpašas atzīmes, kas ļauj, piemēram, ar 20 minūšu precizitāti noskaidrot, kad jūsu dators ir sasalis.
Ņemiet vērā, ka kategorijai parasti nav nekā kopīga ar tās programmas nosaukumu, kas sūta ziņojumus dēmonam syslogd. Kā saka, katra nejaušība ir tīra iespēja. Turklāt dažas programmas var ģenerēt dažādu kategoriju ziņojumus. Piemēram, dēmons telnetd neveiksmīgu reģistrēšanas mēģinājumu gadījumā ģenerē kategorijas ziņojumus authpriv, un citos gadījumos klasificē savus ziņojumus dēmons.
Otrais parametrs, uz kura pamata tiek veidota lauka vērtība PRI, ir ziņojuma līmenis vai prioritāte (prioritāte), tas ir, informācija par ziņojuma svarīguma pakāpi. Pēc noklusējuma ir norādīti 8 svarīguma līmeņi (tie ir definēti arī failā /usr/include/sys/syslog.h), kas ir kodēti ar cipariem no 0 līdz 7:
2. tabula.
| Skaitliskā vērtība | Simbols | Dekodēšana |
| 0 | izcelties(vecais nosaukums PANIKA) | Ārkārtas. Sistēma nedarbojas. |
| 1 | brīdinājums | Trauksme! Nepieciešama tūlītēja iejaukšanās. |
| 2 | krit | Kritiska kļūda(kritisks stāvoklis). |
| 3 | kļūda(vecais nosaukums ERROR) | Kļūdas ziņojums. |
| 4 | brīdinājums(vecais nosaukums WARN) | Brīdinājums. |
| 5 | paziņojums | Informācija par kādu normālu, bet svarīgu notikumu. |
| 6 | info | Paziņojums. |
| 7 | atkļūdošana | Ziņojumi, kas ģenerēti atkļūdošanas laikā. |
Lauks PRI Ziņojumu veido šādi: kategorijas skaitlisko vērtību reizina ar 8 un pievieno prioritātes skaitliskajai vērtībai, iegūto skaitli ieliek leņķiekavās un ieraksta laukā.
Sekojot laukam PRI Ziņojumā ir iekļauti šādi lauki:
- LAIKZĪMOGS- ziņojumu ģenerēšanas laiks,
- HOSTNAME- resursdatora nosaukums vai IP adrese decimāldaļās,
- MSG- patvaļīgs ziņojuma teksts - kāda teksta (informācijas) virkne US-ASCII kodā (0x20 - 0x7e).
Laiks (vietējais!) ir rakstīts šādā formātā: 13. februāris 21:12:06. Ja dienas skaitlis ir viens cipars, tad tā priekšā tiek ievietota papildu atstarpe (nevis 0!). Lūdzu, ņemiet vērā, ka datumā nav gada un zonas, kas jāņem vērā, organizējot žurnāla failu ilgtermiņa glabāšanu. Lai ziņojumā norādītais laiks būtu pareizs, tas ir jāsinhronizē (piemēram, izmantojot NTP protokolu).
Saimniekdatora nosaukums ir iekļauts ziņojumā, lai izvairītos no sajaukšanas starp ziņojumiem no dažādiem resursdatoriem, jo, kā tiks parādīts tālāk, reģistrēšanu var veikt vienā no tīkla specializētajiem datoriem. Resursdatora nosaukums ir vienkāršs datora tīkla nosaukums, nenorādot domēnu. Ja datoram ir vairākas saskarnes ar dažādām IP adresēm, tad jebkuru no tām var izmantot kā resursdatora nosaukumu vai adresi.
Ziņas teksts ( MSG) parasti satur etiķeti ( TAG), norādot programmu vai procesu, kas izdevis ziņojumu, un ziņojuma pamattekstu ( SATURS). Uz etiķetes var būt latīņu burti un cipari. Parasti etiķete ir vienkāršs programmas nosaukums, kas dažreiz tiek papildināts ar procesa identifikatoru, kas ievietots kvadrātiekavās. Ziņojuma pamatteksts ir atdalīts no etiķetes ar īpašām rakstzīmēm - Linux tie parasti ir kols un atstarpe.
Ziņojumu apstrādi veic syslogd dēmons
Visi ziņojumi, ko ģenerē atsevišķas programmas, izmantojot funkciju syslog, nosūtīts pa ligzdu /dev/log sistēmas dēmons syslogd, kas ir atbildīgs par šo ziņojumu apstrādi. Jāsaka, ka patiesībā sistēmā tiek palaisti divi reģistrēšanas dēmoni - syslogd Un klogd. Abi dēmoni ir iekļauti komplektā sysklogd, kuras jaunāko versiju varat atrast vietnē.
Dēmons klogd ir atbildīgs par sistēmas kodolā notiekošo notikumu reģistrēšanu. Nepieciešamība pēc atsevišķa dēmona klogd sakarā ar to, ka kodols nevar izmantot standarta funkciju syslog. Fakts ir tāds standarta bibliotēkas(ieskaitot bibliotēku, kurā atrodas funkcija syslog) ir paredzēti lietošanai tikai parastajās programmās. Tā kā kodolam arī ir vajadzīgas līdzīgas funkcijas, tajā ir iekļautas savas bibliotēkas, kas lietojumprogrammām nav pieejamas. Tāpēc kodols izmanto savu ziņojumu ģenerēšanas mehānismu. Dēmons klogd ir paredzēts, lai organizētu šo ziņojumu apstrādi. Principā viņš var veikt šādu apstrādi pilnīgi neatkarīgi un neatkarīgi no syslogd, piemēram, reģistrējot šos ziņojumus failā, taču vairumā gadījumu tiek izmantots noklusējuma iestatījums klogd, kurā visi ziņojumi no kodola tiek pārsūtīti uz vienu un to pašu dēmonu syslogd.
Lai pārliecinātos, ka dēmoni syslogd Un klogd kas darbojas jūsu sistēmā, palaidiet komandu ps -cirvis | grep žurnāls. Šī komanda man deva šādu rezultātu:
$ ps -ax | grep žurnāls 569? S 0:00 syslogd -m 0 574 ? S 0:00 klogd -x 1013 ? S 0:00 login -- kos 1191 ? S 0:00 kalarmd --login Pirmās divas rindiņas norāda, ka sistēmā darbojas reģistrēšanas dēmoni.Dēmons apstrādā ziņojumus syslogd ir tas, ka tas pastāvīgi uzrauga ziņojumu izskatu un salīdzina katru ienākošo ierakstu ar failā esošajiem noteikumiem /etc/syslog.conf. Katrs noteikums ir rakstīts kā faila rinda /etc/syslog.conf, kas sastāv no diviem laukiem. Kreisajā laukā ("selektors") ir norādīta viena vai vairākas veidnes, pēc kurām tiek atlasīti ziņojumi. Raksti ir atdalīti ar semikolu (skatiet tālāk redzamo faila piemēru /etc/syslog.conf). Labais lauks (“darbība”) nosaka secību, kādā tiek apstrādāti atlasītie ziņojumi. Lauki ir atdalīti ar vienu vai vairākām atstarpēm vai tabulēšanas rakstzīmēm.
Katrs modelis laukā "selector" ir formā "category.level" (tas ir, "facility.priority"). Lauka "Kategorija" vērtības var būt:
- viens no 1. tabulā uzskaitīto kategoriju nosaukumiem,
- vairāki šādi nosaukumi (šajā gadījumā tie ir atdalīti ar komatiem)
- vai simbolu * (kas nozīmē "visas kategorijas").
Lauka "līmenis" vērtības var būt:
- viens no līmeņu nosaukumiem, kas uzskaitīti 2. tabulā,
- simbols * (ierakstīt visus šīs kategorijas ziņojumus neatkarīgi no līmeņa),
- vai vārdu neviens(neierakstiet ziņas šajā kategorijā).
Konkrētas vērtības norādīšana laukā "līmenis" tiek interpretēta kā "visas vērtības". šis līmenis un augstāks". Ja nepieciešams ierakstīt tikai viena līmeņa ziņojumus, tad norādītās vērtības priekšā jāliek vienādības zīme ("="). Ja vēlaties ierakstīt visu līmeņu ziņojumus, izņemot norādīto, tad likt pirms līmeņa nosaukuma Izsaukuma zīme("!"). Šo divu zīmju izvietošana vienlaikus tiek interpretēta kā “neierakstīt norādītā līmeņa vai augstāka līmeņa ziņojumus”.
Laukā "selector" nav atšķirības starp lielajiem un mazajiem burtiem. Varat arī izmantot skaitļus (skatiet /usr/include/syslog.h). Papildus 1. tabulā norādītajām kategorijām varat norādīt atzīme(parastie laikspiedoli) un drošību(novecojis sinonīms vārdam aut). Papildus prioritārajām vērtībām, kas norādītas 2. tabulā, varat izmantot brīdināt(sinonīms vārdam brīdinājums), kļūda(sinonīms vārdam kļūda), panika(sinonīms vārdam izcelties).
Ja tiek atrasta atbilstība starp saņemtā ziņojuma kategoriju un līmeni un kādu no paraugiem kādas virknes laukā "selector", syslogd apstrādā ierakstu saskaņā ar darbību, kas norādīta šīs rindas laukā “darbība”.
Laukā "darbība" var būt
- ir jānorāda parasta faila (žurnāla faila) nosaukums un pilns ceļš uz failu, sākot no saknes "/", un, ja norādītais fails neeksistē, syslogd rada to,
- nosauktās caurules nosaukums - FIFO; šajā gadījumā pirms nosaukuma tiek novietota vertikāla josla ("|"), un pirms sākuma ir jāizveido pats kanāls syslogd komanda mkfifo,
- norādot uz termināli vai konsoli (kā ierīcē: /dev/tty1),
- attālā resursdatora norāde (pirms simbola @),
- vai lietotāju saraksts (atdalot ar komatiem), uz kuru termināļiem tiks nosūtīts ziņojums saskaņā ar šo noteikumu. Lietotāju saraksta vietā varat ievietot zvaigznīti (*), kas nozīmēs, ka ziņojumi tiek nosūtīti visiem lietotājiem, kuri strādā Šis brīdis sistēmā.
Visbiežāk laukā “darbība” joprojām ir žurnālfaila nosaukums. Turklāt faila nosaukuma priekšā varat ievietot mīnusa zīmi ("-"), kas nozīmēs, ka sistēma var saglabāt failu kešatmiņas buferī, nevis izskalot to pēc katra ziņojuma ierakstīšanas diskā. Tas, protams, paātrina darbu, it īpaši, ja protokolā tiek ierakstīti daudzi lieli ziņojumi, taču tas var novest pie dažu ziņojumu zaudēšanas negaidītas sistēmas avārijas gadījumā, tas ir, tieši tad, kad šādi ziņojumi ir īpaši nepieciešami . Varat arī norādīt printeri - /dev/lp0 - kā ierīci laukā "darbība". Šo “darbības” opciju ieteicams izmantot gadījumos, kad ir iesaistītas īpaši svarīgas sistēmas. Hakeri nevar izdzēst vai mainīt izdrukātos protokolus, tāpēc tas ir piemērots vecam punktmatricas printerim.
Papildus rindām ar noteikumiem failā /etc/syslog.conf var saturēt tukšas rindas un komentāru rindas, kas sākas ar simbolu #. Vairāk par failu struktūru /etc/syslog.conf Jūs varat izlasīt syslog.conf rokasgrāmatu, lai atrastu dažus kārtulu ierakstu piemērus šajā failā. Ņemiet vērā, ka failā norādot pārus “category.level”. syslog.conf nevar izmantot skaitliskās vērtības, kas norādīti 1. un 2. tabulā, ir atļauti tikai to nosaukumi.
Ja ziņojums atbilst divu vai vairāku virkņu modeļiem, tas tiks apstrādāts saskaņā ar katru no šiem noteikumiem (tas ir, ziņojuma apstrāde neapstājas pie pirmās veiksmes). Tas nozīmē, ka vienam ziņojumam var veikt patvaļīgu skaitu darbību. Tādēļ varat ierakstīt ziņojumu žurnālfailā un nosūtīt to lietotājam(-iem) vai attālajam resursdatoram.
Turklāt, ja laukā "selector" ir uzskaitīti (atdalīti ar semikolu) vairāki "category.level" pāri, tad nākamie pāri var ignorēt iepriekšējos. Šādas atcelšanas piemēru varat redzēt tālāk esošajā failu sarakstā /etc/syslog.conf: visi ziņojumi, kuru līmenis ir vienāds ar vai augstāks par info, tiek ierakstīti failā /var/log/messages, bet ziņojumi no kategorijām mail, authpriv un cron tiek izlaisti (nav rakstīti).
| Saraksts 1. Fails /etc/syslog.conf no sistēmas, kas veidota uz Red Hat Linux 7.1 izplatīšanas (es tikai iztulkoju šajā failā ietvertos komentārus krievu valodā un izcēlu noteikumus treknrakstā). |
| # Drukājiet visus ziņojumus no kodola uz konsoli. #kern.* /dev/console# Reģistrējiet visus ziņojumus informācijas līmenī vai augstākā līmenī, # izņemot pasta sistēmas ziņojumus, kas satur # sensitīvu informāciju no autentifikācijas ziņojumiem un cron dēmonu ziņojumiem. *.info;mail.none;authpriv.none;cron.none /var/log/messages# Ierakstiet ziņojumus ar sensitīvu # autentifikācijas informāciju atsevišķā failā neatkarīgi no to līmeņa. authpriv.* /var/log/secure# Visi ziņojumi no pasta sistēmas arī jāreģistrē atsevišķi. pasts.* /var/log/maillog# Reģistrējiet cron dēmona darbības. cron.* /var/log/cron# Ārkārtas ziņojumi nekavējoties jāsaņem # visiem sistēmas lietotājiem *.emerg*# Rakstiet ziņas no ziņu dienestiem kritiskā un augstākā līmenī atsevišķā failā. uucp,news.crit /var/log/spooler# Sāknēšanas fāzes laikā izdotie ziņojumi tiek kopēti failā boot.log local7.* /var/log/boot.log |
Žurnāla fails /var/log/messages
Protams, šeit nav iespējams runāt par katras šī faila rindas saturu. Lai lasītājs gūtu priekšstatu par to, kāda informācija ir atrodama protokolā, mēs piedāvājam atsevišķas ziņojumu rindas ar ļoti īsiem komentāriem.
Katrā žurnālfaila rindā ir viens ziņojuma ieraksts, kas sastāv no šādiem ziņojumu laukiem, kas atdalīti ar atstarpēm:
- datums standarta teksta formātā (lauks LAIKZĪMOGS no ziņojuma syslog),
- resursdatora nosaukums (lauks HOSTNAME no ziņojuma syslog)
- ziņojuma teksts (lauki TAG Un SATURS no ziņojuma syslog)
Pirmkārt, ir vērts atzīmēt, ka, ja jūsu dators nedarbojas 24/7, bet ir izslēgts naktī, tad šajā failā var atrast ierakstus par vairākiem "darba cikliem", sākot ar datora palaišanu un beidzot ar tā izslēgšanu. Šāds cikls sākas ar ziņojumu par reģistrēšanas dēmonu palaišanu (tas ir saprotams, ziņojumi netika ierakstīti pirms to palaišanas):
17. septembris 08:32:56 kos3 syslogd 1.4-0: restart. 17. septembris 08:32:56 kos3 syslog: syslogd palaišana izdevās 17. septembris 08:32:56 kos3 kodols: klogd 1.4-0, žurnāla avots = /proc/kmsg sākās. Sep 17 08:32:56 kos3 kodols: pārbaude /boot/System.map-2.4.2-2 Sep 17 08:32:56 kos3 syslog: klogd palaišana izdevās
Ierakstiem citos failā minētajos protokola failos ir aptuveni tāda pati struktūra /etc/syslog.conf.
logger un tailf komandas
No iepriekšējā apraksta varam secināt, ka visu sistēmas žurnālu ziņojumu izsniegšana ir jānorāda programmētājam programmas izveides stadijā. Tā nav gluži taisnība. Lietotājam ir arī iespēja nosūtīt ziņu dēmonam syslogd. Tam ir komanda Linux mežizstrādātājs, kas ļauj nosūtīt ziņojumu no komandrindas (sh, bash utt.). Tā ir daļa no util-linux pakotnes. Protams, šī komanda galvenokārt ir paredzēta, lai nodrošinātu reģistrēšanas iespējas, kad lietotājs izveido dažāda veida čaulas skriptus. Bet to var arī palaist tieši no komandrindas, piemēram, lai iepazītos ar reģistrēšanas sistēmas iespējām. Komandas palaišanas formāts: reģistrētājs [-isd] [-f fails] [-p PRI] [-t TAG] [-u ligzda] Komandrindas opcijām ir šāda nozīme:
- -i- ziņojumā iekļaujiet procesa numuru
- -s- dublēt ziņojumu stderr
- -d- izmantot datagrammu režīmu, sūtot ziņojumus (parastās straumēšanas vietā)
- -f faila nosaukums- saglabāt ziņu uz norādītais fails(noklusējums ir /var/log/messages)
- -p iekārta.līmenis- iestatīt ziņojuma kategoriju un prioritāti (noklusējums: user.notice)
- -t TAG - iestatiet lauku TAG
- -u kontaktligzda- nosūtīt ziņojumu uz norādīto ligzdu, nevis izsaukt syslogd
- MSG- Ziņojuma teksts
Izmantojot programmu, nosūtiet vairākus ziņojumus mežizstrādātājs un apbrīnojiet rezultātu failā /var/log/messages(ja vien, protams, neesat mainījis noklusējuma vērtību).
Starp citu, ir ļoti interesants veids, kā apskatīt failā rakstītos ziņojumus /var/log/messages komanda mežizstrādātājs. Šīs metodes pamatā ir izmantošana īpaša programma aste. Atveriet termināļa logu, iegūstiet superlietotāja tiesības (ar komandu su) un palaidiet komandu šajā logā
tailf /var/log/messages
Pēc tam pārslēdzieties uz citu termināli un palaidiet komandu tur logger free_text. Jūsu ziņojums nekavējoties parādīsies logā, kurā darbojas programma aste. Tas ir, ar šīs programmas palīdzību sistēmas administrators var reāllaikā uzraudzīt jaunu ziņojumu ierakstīšanu protokolā. Tiesa, sistēmas administrators diez vai ir laiks uzraudzīt sistēmas uzvedību šādā veidā (izņemot varbūt ārkārtas situācijas). Tāpēc protokolu analīzei ir izstrādātas īpašas programmas. Bet vairāk par tiem tālāk, bet tagad pāriesim pie jautājuma par to, kā organizēt attālā datora uzraudzību (atcerieties, kā jūs noķērāt uzbrucēju Šimomuru?).
Tīkla reģistrēšana
Kā minēts, reģistrēšanas sistēmas ziņojumus var nosūtīt dēmons syslogd uz attālo saimniekdatoru. Bet kādam viņš tur ir jāpieņem. Izrādās, ka to dara tas pats dēmons syslogd, kas darbojas šajā attālajā resursdatorā. Precīzāk, syslogd jebkurā datorā var klausīties ne tikai /dev/log ligzdu (tādējādi pieņemot ziņojumus no vietējiem avotiem), bet arī portu 514/UDP, kas nodrošina ziņojumu saņemšanu no citiem datoriem lokālajā tīklā (un to turpmāko ierakstīšanu lokālais fails). Tas ļauj izveidot “reģistrācijas serveri”, kas var būt ļoti ērts sistēmas administratoram (visi notikumi tīklā tiek uzraudzīti vienuviet), kā arī palielina tīkla drošību, jo ziņojumi par hakeru iespiešanos vienā no Šis hakeris nevar nekavējoties ziņot, ka tīkla saimniekdatori ir noņemti no protokola.
Tomēr, lai organizētu šādu "tīkla reģistrēšanu", ir jāpieliek papildu pūles.
Pirmkārt, tā kā ports 514/UDP tiek izmantots ziņojumu sūtīšanai un saņemšanai tīklā, tam ir jābūt pieejamam abos datoros (klientā un serverī). Lai to izdarītu failā /etc/services līnijai jābūt abos datoros
syslog 514/udp
Ja tāda rinda iekšā /etc/services prombūtnē, syslogd nevar ne saņemt ziņojumus, ne nosūtīt tos tīklam, jo tas nevar atvērt UDP portu. Ja rodas šāda situācija, syslogd nekavējoties pārtrauc rakstīt ziņojumus, pat uz lokālo žurnālu. Tajā pašā laikā, kā rāda komanda ps, tas paliek atmiņā un pat saglabā ziņojumus dažos buferos, jo, ja rinda " syslog 514/udp" atjaunot failā /etc/services uz klientu, tad līdz vismaz Daži "pazudušie" ziņojumi joprojām tiek rādīti žurnālā (pēc restartēšanas syslogd).
Otrkārt, startējot dēmonu syslogd opcija jānorāda serverī -r, kas nodrošina attālās reģistrēšanas iespējas (noklusējuma dēmons syslogd gaida ziņojumus tikai no vietējās ligzdas). Par to, kā un kur iestatīt šo opciju, tiks runāts tālāk, sadaļā par dēmona palaišanu syslogd.
Nu, un treškārt, attiecīgi ir jālabo iestatījumi failos /etc/syslog.conf abos datoros. Piemēram, ja vēlaties novirzīt visus ziņojumus uz reģistrēšanas serveri, jums jāieraksta failā klienta datorā /etc/syslog.confšāda rinda:
*.* @hostname
Ja dēmona starta laikā syslogd serveris nebūs pieejams (piemēram, pašlaik ir atvienots no tīkla) vai arī to nevarēs atrast pēc nosaukuma (DNS pakalpojums nedarbojās pareizi) syslogd veic vēl 10 mēģinājumus atrast serveri un tikai tad, ja pēc tam serveri nevar atrast, pārtrauc mēģinājumus un nosūta atbilstošu ziņojumu.
Ja jūsu tīklā ir vairāki domēni, kurus apkalpo viens reģistrēšanas serveris, nebrīnieties, ka servera žurnālā būs iekļauti pilni klientu vārdi (ieskaitot domēnu). Tiesa, startēšanas laikā syslogd opcijas var izmantot -s domēnu_saraksts vai -l host_list, kas nodrošina pilno resursdatora nosaukumu aizstāšanu protokolā ar to īsajiem nosaukumiem (nenorādot domēnu).
Neaizmirstiet pēc palaišanas un failu opciju pielāgošanas /etc/syslog.conf restartējiet dēmonu, jo atšķirībā no cron, sysklogd automātiski nepārlasa konfigurācijas failus.
syslogd dēmona startēšanas opcijas
Tā kā iepriekšējā apakšnodaļā mēs pieskārāmies jautājumam par dēmonu palaišanas parametru iestatīšanu syslogd, apskatīsim šo jautājumu sīkāk. Kā jau minēts, abi reģistrēšanas dēmoni tiek palaisti sistēmas inicializācijas stadijā un konkrētāk, izmantojot skriptu /etc/rc.d/init.d/syslog(kuriem, tāpat kā citu pakalpojumu startēšanas skriptiem, tiek izveidotas simboliskas saites direktorijos /etc/rc.d/rc?.d/). Taču, lai iestatītu palaišanas parametrus, šis skripts nav jāpielāgo, jo sākot no 7.2 versijas Red Hat distribūcijā abu dēmonu palaišanas opcijas tiek nolasītas no atsevišķa konfigurācijas faila /etc/sysconfig/syslog. Šeit ir īss iespējamo dēmona parametru saraksts syslogd.Palaišanas parametri syslogd:
- - kontaktligzda- Norāda papildu ligzdu, kurā dēmons klausīsies syslogd. Varat norādīt līdz 19 ligzdām (iespējams vairāk, taču šim nolūkam pakotne ir jāpārkompilē). Šo opciju izmanto gadījumos, kad ierobežotā vidē (chrooting) darbojas kāds cits dēmons (piemēram, ftp vai http).
- -d- Atkļūdošanas režīms. Šajā gadījumā dēmons neiedziļinās fona režīms un izvada visus ziņojumus uz pašreizējo termināli.
- -f konfigurācijas faila nosaukums Norāda alternatīvā konfigurācijas faila nosaukumu, kas tiks izmantots noklusējuma faila vietā /etc/syslog.conf.
- -h Noklusējums sysklogd Tīklā saņemtos ziņojumus ir aizliegts pārsūtīt uz citu datoru. Tas tiek darīts, lai novērstu nebeidzamu ziņojumu pārsūtīšanu ap gredzenu. Opcija -h ļauj mainīt ierasto uzvedību un nodrošināt, ka no attāliem saimniekiem saņemtie ziņojumi tiek pārsūtīti tālāk tīklā (un pats parūpēsies par iespējamo cilpu).
- -l saimnieku saraksts- Norāda to resursdatoru sarakstu, kuru nosaukumus nedrīkst rakstīt ar pilnu domēna nosaukumu (FQDN — Full Qualified Domain Name); vārdus sarakstā atdala ar kolu.
- -m minūtes Palaists bez šīs opcijas sysklogd regulāri (ik pēc 20 minūtēm) ieraksta kategoriju ziņojumus protokolā atzīme, tas ir, vienkārši laika zīmogi. Izmantojot opciju -m varat vai nu mainīt intervālu starp atzīmēm, vai pilnībā atcelt šādu ziņojumu izdošanu, kuriem intervāls jāiestata uz nulli: -m 0.
- -n Nepazūd fonā; šī opcija ir nepieciešama gadījumos, kad syslogd tiek startēts un kontrolēts ar kādu procesu tajā.
- -p ligzda Norāda alternatīvu UNIX ligzdu (noklusējuma klausīšanās vietā /dev/log). Lūdzu, ņemiet vērā: opcija -a norāda papildu kontaktligzdas, un -lpp- alternatīva!
- -rĻauj saņemt ziņojumus no attāliem saimniekiem. Mēs par to runājām iepriekšējā sadaļā, tāpēc es izlaidīšu sīkāku informāciju.
- -s domēnu saraksts Norāda to domēnu sarakstu, kuru nosaukumi nav jāreģistrē kopā ar resursdatora nosaukumu (tas ir, šiem domēniem tiks reģistrēts tikai resursdatora nosaukums, nevis pilnībā kvalificēts domēna nosaukums (FQDN). Sarakstā minētie nosaukumi ir atdalīts ar kolu. Tā domēna nosaukums, kurā atrodas syslogd serveris , šajā sarakstā nav jāiekļauj (tā nosaukums pēc noklusējuma tiek noņemts).
- -v Rādīt versiju un pabeigt darbu.
- -x Aizliegums noteikt resursdatora nosaukumu pēc tā adreses, novērš strupceļu, strādājot vienā un tajā pašā resursdatorā ar DNS serveri.
Pēc dēmona palaišanas syslogd tiek izveidots statusa fails /var/lock/subsys/syslog nulles garums un fails ar procesa identifikācijas numuru /var/run/syslogd.pid.
Izmantojot komandu
kill -SIGNAL `cat /var/run/syslogd.pid`
jūs varat nosūtīt dēmonam syslogd viens no šiem signāliem:
- SIGHUP - restartējiet dēmonu (atkārtoti inicializācija); visi atvērtie faili tiek aizvērti, dēmons sākas no jauna, atkārtoti lasot savu konfigurācijas failu.
- SIGTERM - izslēgšana.
- SIGINT, SIGQUIT — ja ir iespējots atkļūdošanas režīms (opcija -d), signāli tiek ignorēti; pretējā gadījumā izslēgšana.
- SIGUSR1 - iespējot/atspējot atkļūdošanas režīmu (darbojas tikai tad, ja dēmons tika palaists ar slēdzi -d).
Dēmons klogd ir ne mazāk palaišanas iespēju kā syslogd, tomēr mēs tos šeit neparādīsim, atsaucot lasītāju uz atbilstošo man lapu (lietotājam nevajadzētu apgrūtināt iestatīšanu klogd, labāk to atstāt tādā stāvoklī, kādā to ražojuši izplatīšanas izstrādātāji).
dmesg failu un dmesg komandu
Kā jau minēts, failā minētie žurnālfaili /etc/syslog.conf parasti atrodas direktorijā /var/log un tā apakšdirektoriji. Bet, ja mēs iedziļināsimies šajā direktorijā, mēs tur atradīsim vairākus failus /etc/syslog.conf netika pieminēti. Apskatīsim to mērķi. Sāksim ar failu dmesg.Vispirms mums jāpiemin, ka Linux ir komanda ar tādu pašu nosaukumu. Ja salīdzina šīs komandas izvadi (kad tā tiek palaista bez parametriem) ar faila saturu /var/log/dmesg, jūs atklāsit, ka tie ir ļoti līdzīgi, lai gan nav identiski (novirziet komandas izvadi uz failu dmesg2 un salīdziniet failus dmesg Un dmesg2). Precīzāk, fails /var/log/dmesg viens pret vienu sakrīt ar izvades sākumu, ko iegūstam no komandas dmesg. Kā izriet no , kodolam ir gredzena buferis, kurā tiek ierakstīti ziņojumi no kodola reģistrēšanas dēmona. Tie ziņojumi, kas lejupielādes procesa laikā tiek ierakstīti šajā buferī, veido faila saturu /var/log/dmesg. Acīmredzot šis fails tiek ģenerēts pēc sistēmas sāknēšanas.
Ja vēlreiz aplūkojat sniegto failu sarakstu /etc/syslog.conf, jūs redzēsiet, ka visi ziņojumi kategorijā kern tiek izsniegti arī konsolei. Bet tur tie ātri pārskrien pa ekrānu, un jums gandrīz nav laika tos izlasīt un saprast. Bet tie tiek saglabāti failā /var/log/dmesg un tādējādi ir pieejamas nesteidzīgām pārdomām (ja lejupielādes process ir veiksmīgi pabeigts). Kad sāknēšanas process ir pabeigts, ziņojumu rakstīšana no kodola uz gredzena buferi turpinās. Kad komanda tiek izpildīta dmesg, tiek parādīts pašreizējais bufera stāvoklis. Tāpēc šīs komandas izvadē ir vairāk ziņojumu nekā failā /var/log/dmesg: šīs komandas izvadā jūs redzat arī ziņojumus, ko kodols izdod pēc sāknēšanas procesa pabeigšanas.
Visas ziņas no /var/log/dmesg jūs atradīsit failā /var/log/messages, tikai tur tie mijas ar ziņām no citām programmām. Ir tikai viena būtiska atšķirība: failā dmesg ziņojuma laiks un avots (resursdatora nosaukums un ziņojuma kategorija) nav norādīts. Šeit saimniekdators vienmēr ir “lokāls”, un laika skaitīšanas sākumu nosaka pēdējā datora atsāknēšana.
lastlog, wtmp un utmp faili
Papildus failam dmesg katalogā /var/log/ ir vēl divi faili, kas nav minēti /etc/syslog.conf, bet tieši saistīti ar reģistrēšanu - tie ir faili pēdējais žurnāls Un wtmp. Bet ieskatieties tajās tāpat kā mēs skatījāmies uz failu /var/log/messages nav jēgas - neko nesapratīsi. Fakts ir tāds, ka informācija šajos failos tiek ierakstīta īpašā formātā, un tā ir jāskata, izmantojot īpašu programmatūra. Bet vispirms mums ir jāpasaka daži vārdi par šo failu mērķi.
Fails pēdējais žurnāls saglabā informāciju par lietotāja pēdējo pieteikšanos. Es nezinu, vai pamanījāt, ka, ievadot lietotājvārdu un paroli, ekrānā tiek parādīts šāds ziņojums:
Localhost login: kos Parole: Pēdējā pieteikšanās: Wed Oct 9 19:25:53 on tty1 Šīs trīs rindas ir ģenerētas utilīta Pieslēgties, kas, konstatējot, ka lietotājam ir pieteikšanās tiesības, piekļūst failam /var/log/lastlog, no turienes izgūst informāciju par lietotāja iepriekšējo veiksmīgo pieteikšanos, parāda to ekrānā un pēc tam atjaunina ierakstu failā pēdējais žurnāls. Varat dzēst šo ziņojumu, izveidojot tukšu .hushlogin failu savā mājas direktorijā. Taču to darīt nav ieteicams, gluži otrādi, īpaša uzmanība jāpievērš šīs ziņas saturam, lai nepalaistu garām gadījumus, kad kāds cits pieteicies ar tavu vārdu.
Atšķirībā no faila /var/log/lastlog, kurā ir laika ieraksti Pēdējais pieteikšanās katram lietotājam failā /var/log/wtmp tiek atcerēti Visi lietotāju pieteikšanās un izteikšanās kopš šī faila izveides. Tas pats, kas failā pēdējais žurnāls, ieraksti /var/log/wtmp ir izgatavoti īpašā formātā, tāpēc tos var apskatīt tikai, izmantojot īpašas komandas. Bet pirms mēs runājam par šīm komandām, pieņemsim, ka ir vēl viens fails, kurā ir lietotāja reģistrēšanas ieraksti — tas ir fails /var/run/utmp. Šajā failā ir informācija par to, kuri lietotāji pašlaik strādā sistēmā.
Tagad varat runāt par to, kā skatīt informāciju par lietotājiem, kuri strādā vai iepriekš strādāja sistēmā. Galvenā komanda tam ir komanda Pēdējais. Tas parāda visus ierakstus no faila /var/log/wtmp, kurā norādīts lietotājvārds, norāde uz termināli, no kura lietotājs strādāja, laiks, kad lietotājs ir pieteicies sistēmā un laiks, kad viņš izgājis no sistēmas, kā arī lietotāja sesijas ilgums sistēmā. Ja lietotāja darbs tika pārtraukts tikai tāpēc, ka pati sistēma bija izslēgta, lietotāja izejas laika vietā ir vārds "uz leju" (no šīm rindām ir viegli noteikt sistēmas apstāšanās laiku). Atsāknēšanas laiks tiek parādīts atsevišķās rindās, kas sākas ar vārdu "reboot".
Komanda pēdējaisb kā komanda Pēdējais, bet parāda informāciju par neveiksmīgiem lietotāja pieteikšanās mēģinājumiem. Tomēr jāņem vērā, ka šī komanda darbosies tikai tad, ja fails pastāv /var/log/btmp. Tomēr neviena no šeit aplūkotajām programmām neveido žurnālfailus, tāpēc, ja kāds no tiem tiek izdzēsts, ierakstīšana beidzas.
Komanda pēdējais žurnāls formatē un parāda faila saturu /var/log/lastlog. Tiks parādīts lietotājvārds, termināļa nosaukums, no kura lietotājs pieteicās, un pēdējais pieteikšanās laiks. Pēc noklusējuma (kad komanda tiek ievadīta bez parametriem) faila elementi /var/log/lastlog tiks parādīts lietotāja ID numuru secībā. Ja norādāt opciju -u login-name, tiks parādīts tikai norādītā lietotāja pēdējais pieteikšanās laiks. Norādot parametru -t days, jūs saņemsiet ierakstus tikai par pēdējo dienu dienām. Ja lietotājs vispār nav pieteicies sistēmā, tad termināļa nosaukuma un pēdējā pieteikšanās laika vietā tiks norādīta virkne “**Nekad nav pieteicies**”.
Izpildot komandu pēdējais žurnāls Lēnā datorā dažos gadījumos var šķist, ka komanda ir iestrēgusi. Tas notiek tāpēc, ka pat tad, ja sistēmā ir reģistrēti tikai divi lietotāji (root un user), failā /var/log/lastlog joprojām ir vieta, lai pēc iespējas vairāk lietotāju varētu strādāt pie sistēmas. Tāpēc failā /var/log/lastlog Var būt lielas atšķirības starp sistēmā strādājošo lietotāju ID numuriem. Tā kā, skatoties šādus intervālus, programma ekrānā nerāda informāciju un rodas “sasalšanas” iespaids.
Lai parādītu informāciju par to, kurš pašlaik strādā sistēmā, izmantojiet komandas w, PVO Un lietotājiem. Komanda lietotājiem tiek izmantots, ja vēlaties tikai zināt, kurš lietotājs šobrīd strādā sistēmā, bet neinteresē, no kura termināļa viņš pieslēdzās un ko dara. Ja vēlaties uzzināt, kurš ir pieteicies no kura termināļa, izmantojiet komandu PVO. Šī komanda izdrukā informāciju no faila /var/run/utmp. Varat piespiest to izvadīt datus no faila /var/log/wtmp(vai jebkuru citu failu, kuram tas ir jēga), ja norādāt šī faila nosaukumu komandrinda. Bet izvadā jūs joprojām redzēsit tikai lietotājvārdu, norādi uz termināli, no kura lietotājs pieteicās, pieteikšanās laiku un, ja piesakāties ar attālais dators, šī datora nosaukums.
Komanda izvada ievērojami vairāk informācijas w. Tās izvadā jūs redzēsiet pašreizējo laiku, cik ilgi sistēma darbojas, cik lietotāju pašlaik strādā sistēmā un vidējo sistēmas slodzi pēdējā minūtē, 5 un 15 minūtes. Pēc tam katram lietotājam tiek drukāts:
Kā jau minēts, komanda w parāda failā saglabāto informāciju utmp. Starp citu, rokasgrāmata vīrietis nosaka, ka parastiem lietotājiem ir jāliedz rakstīšanas piekļuve failam utmp, jo daudzas sistēmas programmas (dažu neizskaidrojamu iemeslu dēļ) ir atkarīgas no tās integritātes. Ja atļaujat jebkuram lietotājam rakstīt utmp failā, jūs riskējat sajaukt sistēmas statistikas failus un veikt izmaiņas sistēmas failos.
Citu programmu žurnālfaili
Papildus failiem, par kuriem mēs jau runājām, ir arī citi protokola faili, kurus izveido atsevišķas programmas. Tipiskākie piemēri ir dēmonu protokoli samba, ftpd vai httpd, kas tiek veiktas atsevišķi faili. Dažas no šīm programmām savus protokolus izveido direktorija apakšdirektorijās /var/log/, citi glabā protokolus citās vietās. Un šo failu struktūra var būtiski atšķirties no sistēmas izveidoto failu struktūras syslog. Kā piemēru es sniegšu dažas rindiņas no servera protokola Apache darbojas manā datorā: 192.168.36.21 - - "GET /ve/papers/new/log/ HTTP/1.1" 200 1774 "-" "Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.0 . 0) Gecko/20020530" 192.168.36.21 - - "GET /icons/back.gif HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.0.0 ) Gecko/20020530" 192.168.36.21 - - "GET /icons/folder.gif HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.0.0) Gecko / 20020530" 192.168.36.21 - - "GET /icons/text.gif HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.0.0) Gecko/2002053 192.168.36.21 - - "GET /ve/papers/new/log/protok_lovim.htm HTTP/1.1" 200 46597 "http://linux/ve/papers/new/log/" "Mozilla/5.0 (X11; U ; Linux i686; ru-RU; rv:1.0.0) Gecko/20020530" 192.168.36.21 - - "GET /bugtraq.css HTTP/1.1" 404 279 "http://linux/ve/papers/new/log/ protok_lovim .htm" "Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.0.0) Gecko/20020530" 192.168.36.21 - - "GET /img/bug1.gif HTTP/1.1" 404 280 " ://linux/ve/papers/new/log/protok_lovim.htm" "Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.0.0) Gecko/20020530" 192.168.36.21 - - "GET /img/title.gif HTTP/1.1" 404 281 "http://linux/ve/papers/new/log/protok_lovim.htm" "Mozilla" /5.0 (X11; U; Linux i686; ru-RU; rv:1.0.0) Gecko/20020530" Kā redzat, šī protokola faila struktūra būtiski atšķiras no tā, ko mēs redzējām sistēmas protokolos.Samba serveris papildus galvenajam servera darbības protokolam izveido apakšdirektorijā /var/log/samba vesela virkne žurnālfailu dažādiem gadījumiem, jo īpaši atsevišķi faili katram lietotājam, kuram ir atļauts izmantot šī servera nodrošinātos resursus. No viena šāda faila ir ņemti šādi divi ieraksti:
Smbd/service.c:make_connection(550) linux (192.168.36.10) izveidot savienojumu ar publisko pakalpojumu kā lietotājs kos (uid=500, gid=500) (pid 1366) smbd/service.c:close_cnum(550) linux (192.168. 36.10) slēgts savienojums ar sabiedrisko pakalpojumu Iepriekš minētie piemēri parāda, ka, ja jūs varat lasīt nedaudz angļu valodā un jums ir zināma izpratne par ierakstu struktūru, varat daudz iegūt no žurnālfailiem noderīga informācija. Tikai tas ir jāizvelk no veselām “atkritumu iežu” atradnēm - milzīgiem secīgiem protokolu failiem, kas ir nenozīmīgs uzdevums. Tāpēc protokolu analīzei ir izstrādāti īpaši programmatūras rīki.
Rīki protokolu apstrādei
Protokolu analīzei ir izstrādāts diezgan daudz dažādu programmu un skriptu. Es ierobežošu sevi īss apraksts divi šādi līdzekļi: logwatch Un vāls.
logwatch ir Perl skripts, kas iekļauts standarta Red Hat Linux izplatīšanā. Tieši šī raksta sagatavošanas laikā izstrādātāja vietnē tika ievietota šīs programmas versija 4.1 (un viņš ir Kērks Bauers).
Šīs programmas galvenā ideja ir tāda, ka žurnālfails tiek izlaists caur filtru, kas no žurnāla atlasa visas rindas (tas ir, ziņojumus), kas atbilst noteiktajam kritērijam. Rezultātus nosūta pa e-pasts norādītajam lietotājam (pēc noklusējuma - root). Filtrus var rakstīt jebkurā programmēšanas valodā, bet paketes autors dod priekšroku Perl. Filtri ir jāraksta, lai nolasītu datus no stdin un izvadītu rezultātu uz stdout.
Pamata lietošana logwatch sastāv no saites uz galveno skriptu ( /etc/log.d/scripts/logwatch.pl) uz direktoriju /etc/cron.daily, kas izraisa ikdienas izpildi logwatch ar noklusējuma iestatījumiem. Saitei tiek piešķirts nosaukums, kas sākas ar "00" (piemēram, 00-logwatch), lai skripts tiktu palaists pirms logrotate.
Bet jūs varat arī palaist skriptu no komandrindas. Protams, ja neesi mainījis informācijas izvades parametru, tad tā darbības rezultāts jāmeklē superlietotāja pastkastē. Ja vēlaties redzēt šos rezultātus ekrānā, komandrindā ir jāiestata parametrs -- drukāt- izsniedz ziņojumu stdout.
Vispārējs skripta palaišanas formāts:
/etc/log.d/scripts/logwatch.pl [--detaļas līmenī ] [--logfiležurnālu grupa ] [--apkalpošana pakalpojuma nosaukums ] [--print] [--mailto adrese ] [--saglabāt faila nosaukums ] [--arhīvi] [--diapazons datums-intervāls ]
Noklusējuma parametri tiek glabāti /etc/log.d/logwatch.conf failā, un komentāri palīdz saprast komandrindas parametru nozīmi:
- LogDir - direktorijs, attiecībā uz kuru tiek ņemti vērā failu nosaukumi;
- MailTo - kam nosūtīt ziņojumu;
- Drukāt - tā vietā, lai nosūtītu atskaiti pa pastu, izvadiet to uz stdout;
- Saglabāt - tā vietā, lai ziņojumu nosūtītu pa pastu, saglabājiet to norādītajā failā;
- Arhīvi - process ne tikai pašreizējās versijasžurnālus, bet arī vecās kopijas, kas izveidotas ar logrotate;
- Diapazons - apstrādāt norādīto laika intervālu: Visi, Šodien, Vakar (vakardienas kalendārā diena);
- Detaļas - ziņojuma detalizācijas līmenis: no 0 līdz 10 vai Zems, Vidējs, Augsts;
- Pakalpojums — viss vai filtra nosaukums no /etc/log.d/scripts/services/ (var norādīt vairākus filtrus);
- LogFile — viss vai žurnālu grupas nosaukums (var norādīt vairākas grupas).
Vairāk informācijas par skriptu logwatch jūs atradīsiet .
Rakstā ir aprakstīts cits žurnālfailu apstrādes skripts, kas ir iekļauts Mandrake Linux izplatīšanā. Šo skriptu sauc vāls(“Simple WATCHer”) un ir rakstīts arī Perl valodā.
Darba vadība vāls pēc noklusējuma tiek veikta, izmantojot vienu konfigurācijas failu $HOME/.swatchrc. Šajā failā ir teksta paraugs (formā regulāras izteiksmes), kas vāls meklēs žurnālfailos. Pēc katra šāda piemēra tiek norādīta darbība, kas vāls ir jārīkojas, ja tiek atrasts teksts, kas atbilst rakstam.
Piemēram, jūs vēlaties saņemt brīdinājumu ikreiz, kad jūsu tīmekļa serverim tiek mēģināts veikt bufera pārpildes uzbrukumu, kad tiek pieprasīts ļoti garš faila nosaukums. Un jūs zināt, ka šādos gadījumos žurnāla failā /var/apache/error.log Parādās ziņojums ar vārdiem "Faila nosaukums ir pārāk garš". Šajā gadījumā uz jūsu failu .swatchrc Ir jāievieto šāda instrukcija:
Skatīties /Faila nosaukums pārāk garš/ pastu [aizsargāts ar e-pastu], subject=BufferOverflow_attempt
Sīkāku programmas aprakstu šeit nesniegšu. vāls. Tam veltīts entuziasma pilns raksts, un pašu programmu var atrast mājaslapā. Es tikai gribu norādīt, un vāls, Un logwatch ieviest diezgan primitīvu algoritmu protokolu failu apstrādei, kas izpaužas kā noteiktas rakstzīmju virknes (paraksta) meklēšana protokolā. Tikmēr, pirmkārt, šādas līnijas klātbūtne bieži vien neliecina par uzbrucēja ielaušanos, un, otrkārt, kompetents uzbrucējs var parūpēties par savu darbību pēdu dzēšanu. Vēl viens acīmredzams apskatīto produktu trūkums ir tas, ka tie darbojas “atliktajā režīmā”, jo tie darbojas tikai pēc grafika. Un cīņa pret iebrucējiem ir jāveic “reālā laikā”, nekavējoties reaģējot uz mēģinājumiem iekļūt sistēmā. Tāpēc komerciālie produkti piedāvā uzraudzības sistēmas, kas darbojas nepārtraukti un ievieš "inteliģentus" protokolu analīzes algoritmus. Šie algoritmi ir balstīti uz ziņojumu plūsmas statistisko analīzi un statistiski nozīmīgu sistēmas noviržu no parastās darbības identificēšanu.
Šīs sadaļas noslēgumā es atzīmēju, ka vietne SecurityLab.ru (http://www.securitylab.ru/tools/?ID=22111) sniedz saišu sarakstu uz dažādu protokolu apstrādes programmatūras rīku vietnēm ar īsu aprakstu. šo rīku apraksts. Varat eksperimentēt ar dažādām programmām un izvēlēties sev piemērotāko.
Rotējoši žurnālfaili
Jūs, protams, saprotat, ka, ja sistēma tiek intensīvi izmantota, žurnālfaili ātri aug. Tā rezultātā tiek zaudēta vieta diskā. Un rodas problēma "pieradināt" protokolus. Red Hat Linux šo problēmu atrisina skripti logrotēt, kas atrodas direktorijā /etc/cron.daily, un tāpēc to palaiž dēmons cron katru dienu. Šis skripts ļauj apstrādāt ne tikai sistēmas žurnālus syslog, bet arī citas programmas.Skripts logrotēt uzrauga žurnāla failu pieaugumu un nodrošina tā saukto šo failu rotāciju, ja tie pārsniedz noteikto izmēru (vai pēc noteikta laika intervāla). Rotācija ir nekas vairāk kā iepriekšējo arhīva failu versiju secīga kopēšana aptuveni šādi:
un izveidojot jaunu ziņojumu failu, lai ierakstītu turpmākās ziņas.
Skriptam apstrādājamo failu saraksts logrotēt un šīs apstrādes parametrus nosaka konfigurācijas faili, kuru var būt vairāki. Konfigurācijas failu nosaukumi ir norādīti skripta palaišanas komandrindā (palaišanas parametrus skatiet tālāk). Red Hat Linux sistēmā pēc noklusējuma konfigurācijas faili logrotēt tiek izmantots fails /etc/logrotate.conf, kas varētu izskatīties apmēram šādi:
Iknedēļas rotācijas 4. izveides komprese ietver /etc/logrotate.d /var/log/wtmp /var/log/lastlog (ikmēneša izveide 0664 root utmp rotate 1)
Šis fails ir kā jebkurš skripta konfigurācijas fails logrotēt sastāv no vairākām sadaļām. Pirmajā sadaļā ir noteikti globālie parametri (viens katrā rindā), kas nosaka noklusējuma parametrus visiem žurnāliem. Nākamajās sadaļās ir definēti lokālie parametri žurnālfailu sērijai. Šo failu nosaukumi ir norādīti sadaļas pirmajā rindā, un pēc tam lokainās iekavās tiek norādīti lokālie parametri, kas ir derīgi tikai, apstrādājot norādītos failus (arī viens parametrs katrā rindā). Žurnāla failu nosaukumus var citēt saskaņā ar čaulas noteikumiem, ja tie satur atstarpes vai citas īpašās rakstzīmes. Varat norādīt vairākus failu nosaukumus vai failu nosaukumu modeļus, atdalot tos ar atstarpēm (raksti arī atbilst čaulas noteikumiem). Katras sadaļas apstrāde tiek uzskatīta par vienu darbību. Rindas, kas sākas ar simbolu “#”, ir komentāri. Vietējiem parametriem ir prioritāte pār globālajiem.
Konfigurācijas faila piemērā vispirms ir aprakstīti globālie parametri un pēc tam atsevišķā sadaļā parametri /var/log/wtmp un /var/log/lastlog failu apstrādei. Turklāt starp globālajiem parametriem ir norādīta saite uz direktoriju /etc/logrotate.d, kurā katra pakotne ieraksta vietējos parametrus saviem žurnāliem.
Globālo parametru sadaļā vispirms iestatiet vienu no šiem parametriem, kas nosaka faila rotācijas kritēriju:
un parametrs ietver, kam seko cita (papildu) konfigurācijas faila nosaukums vai pat direktorija nosaukums. Pēdējā gadījumā visi faili norādītajā direktorijā, izņemot apakšdirektorijus, īpašos failus un failus ar sufiksiem no izņēmumu saraksta, tiek uzskatīti par skripta konfigurācijas failiem. logrotēt(direktīva ietver nevar izmantot sadaļā, kas nosaka apstrādes parametrus failu grupai).
Parametrs pagriezt numuru var atrast gan starp globālajiem, gan lokālajiem parametriem un nosaka, cik veco versiju jāsaglabā; ja skaitlis ir 0, tad arhivētās protokola versijas netiek veidotas.
Ja parametrs ir norādīts saspiest, tad vecākas versijas tiek saspiestas, izmantojot gzip, un, ja norādīts bezkomprese- tie nesamazinās. Parametrs saspiestcmdļauj norādīt, kura saspiešanas programma tiks izmantota (pēc noklusējuma gzip), un atspiest cmd norāda dekompresijas programmu (noklusējums - ungzip). kompresijas iespējas nosaka saspiešanas programmas parametrus; pēc noklusējuma ir "-9", t.i. maksimālā saspiešana gzip. Izmantojot parametru saspiestteksts varat mainīt saspiesto failu sufiksu un pagarinājumu piedēklis norāda sufiksu, kas tiek pievienots failu nosaukumiem rotācijas laikā (pirms saspiešanas sufiksa).
Starp atslēgvārdi, kas atrodams konfigurācijas failos, īpaši jāatzīmē vārdi pēc rotācijas Un iepriekš pagriezt, kas kalpo kā sākuma iekavas iekļaušanai čaulas skripta konfigurācijas failos. Visas konfigurācijas faila rindas no rindas pēc rotācijas uz līniju beigu raksts tiek izpildītas kā čaulas komandas pēc žurnālfaila versijas maiņas procesa. Attiecīgi visas līnijas no līnijas iepriekš pagriezt uz līniju beigu raksts tiek izpildīti pirms žurnālfailu pagriešanas. Izmantojot šos skriptus, varat organizēt dažādas žurnālfailu apstrādes procedūras rotācijas laikā.
Izmantojot citus konfigurācijas faila parametrus, varat atkārtoti definēt piekļuves tiesības žurnālfailiem (ja šis parametrs nav norādīts, tiek izmantoti vecā žurnālfaila atribūti); norāda, kam sūtīt ziņojumus par kļūdām reģistrēšanas sistēmas darbībā; nosūtīt arhivētu žurnāla kopiju norādītajam lietotājam; iestatiet direktoriju, uz kuru tiks pārvietoti žurnāli versijas maiņas laikā (direktorijam ir jāatrodas tajā pašā fiziskajā ierīcē kā /var/log) vai iestatiet direktorija izslēgšanas sufiksu sarakstu ietver. Detalizēts aprakstsŠīs funkcijas un parametrus (kā arī tos, kas netika minēti) atradīsit ar komandu cilvēks logrotate.
Kā jau minēts, papildu konfigurācijas faili logrotēt var norādīt skripta palaišanas komandrindā. Varat norādīt patvaļīgu skaitu konfigurācijas failu vai direktoriju nosaukumu. Failu un direktoriju nosaukumi šajā sarakstā ir atdalīti vienkārši ar atstarpēm. Vārdu saraksta secībai ir nozīme, jo tālāk norādītās opcijas konfigurācijas fails, pārklājas ar parametru vērtībām, kas norādītas iepriekšējais fails. Failu secība konfigurācijas direktorijā nav noteikta.
Turklāt startēšanas komandrindā varat norādīt šādus parametrus:
- -d- atkļūdošanas režīms, reālas izmaiņas netiek veiktas,
- -f- veikt izmaiņas, pat ja logrotēt neredz vajadzību - tiek izmantots, ja ir izmaiņas apstrādāto žurnālu sarakstā,
- vīrietis logwatch
- Miks Bauers, "Paranoidālais pingvīns: paraugs: automatizēta žurnālu uzraudzība modriem, bet slinkiem"
- RFC 3164. C. Lonvick, The BSD Syslog Protocol, 2001. gada augusts.
- RFC 3195. D. New, M. Rose, Reliable Delivery for syslog, 2001. gada novembris.
- Per. S. Lapšanskis, “Dēmons vēro sistēmu”
- Deniss Koļisničenko,
Syslogd dēmona darbības kontrolē /etc/syslog.conf konfigurācijas fails. Šis ir vienkāršs teksta fails, kurā tukšas rindas un rindas ar # pirmajā pozīcijā tiek ignorētas. Faila formāts ir šāds:
<селектор> <действие>.
Piemēram,
mail.err /var/log/mail.errors
Šī rinda nodrošinās, ka visas pasta piegādes kļūdas tiek ierakstītas failā /var/log/mail.errors.
Svarīgi! Izmantojiet tikai taustiņu kā atdalītāju starp atlasītāju un darbību
Kā jūs jau pamanījāt, atlasītājs ir rakstīts saliktā formā. IN vispārējs skats tas izskatās kā līdzeklis.līmenis
Turklāt laukā<селектор>var saturēt vienu vai vairākus atlasītājus, atdalītus ar semikolu. Atlasītājā var būt ar komatiem atdalītu iespēju grupa. Atlasītājā var būt rakstzīmes * un neviens, kas attiecīgi nozīmē "viss" un "nekas".
Atlasītāju piemēri:
nozīmē.darbības līmenis
nozīmē 1, nozīmē 2. darbības līmenis
nozīmē 1. 1. līmenis nozīmē 2. 2. līmeņa darbību
*.darbības līmenis
*.level;nozīmē.nav darbību
Šajās tabulās ir uzskaitīti galvenie syslog līdzekļu nosaukumi un smaguma līmeņi.
Rīks Programmas, kas to izmanto
kern Sistēmas kodols
lietotājs Lietotāja procesi
pasts E-pasta sistēma
dēmons Sistēmas dēmoni
auth drošības un autoritātes sistēmas
lpr Drukas sistēma
jaunumi Telekonferenču sistēma
cron Cron dēmons
local0-7 Astoņi lokālā ziņojuma līmeņi
syslog Iekšējie syslog sistēmas ziņojumi
ftp ftpd dēmons
*Visi iepriekš minētie līdzekļi
Līmenis Līmeņa vērtība
ārkārtas ārkārtas situācijas
brīdinājums Steidzamas situācijas
crit Kritiskie stāvokļi
err Kļūdas apstākļi
brīdinājums Brīdinājumi
ievērojiet neparastus apstākļus
Informācija Informācijas ziņojumi
atkļūdošana Atkļūdošanas informācija
Līmeņi ir norādīti dilstošā secībā. Tas nozīmē, ka līmeņi norāda minimālo nozīmi, kādai ir jābūt ziņojumam, lai tas tiktu reģistrēts syslog sistēmā.
Lauks<действие>norāda, kas jādara ar saņemto ziņu.
Darbības apraksts
faila nosaukums Ierakstiet ziņojumu failā vietējā datorā
@machinename Pārsūtiet ziņojumu uz syslogd dēmonu norādītajā datorā
@IP_address Tas pats, ir norādīta tikai iekārtas IP adrese
lietotājs1, parādīt ziņojumu norādīto lietotāju ekrānos...
lietotājsN
* Parādiet ziņojumu visu lietotāju ekrānos
*.emerg /dev/console
*.err;auth.notice /dev/console
*.err;auth,mail,user.info /var/log/messages
mail.err /var/log/mail.log
mail.info @192.168.0.1
Runājot par syslog sistēmu, jāpiemin logger komanda, kas ļauj rakstīt ierakstus sistēmas žurnālā no čaulas skriptiem.
Šī komanda ir noderīga, lai pārbaudītu izmaiņas, kas veiktas failā /etc/syslog.conf.
local5.warning /var/log/local.log
un vēlaties pārbaudīt, vai tas darbojas, pēc tam ievadiet komandu
# logger -p local5.warning "Vietējais tests"
Apskatiet failu /var/log/local.log. Ja rindas "Lokālais tests" nav, visticamāk, esat aizmirsis nosūtīt HUP signālu uz syslogd dēmonu.
SERGEJS SUPRUNOVS
FreeBSD padomi: izmantojot syslog
– Atvainojiet, biedri, man ir pierakstītas visas kustības!
— Birojs raksta, — Ostaps sacīja.
I. Ilfs, E. Petrovs “12 krēsli”.
Jebkuras sistēmas un it īpaši servera darbības reģistrēšana ir viena no svarīgākajām administrēšanas sastāvdaļām. Kad sistēmā rodas problēmas, mēs vispirms skatāmies žurnāla failus. No turienes mēs iegūstam pārliecību, ka šī vai cita programma darbojas, kā paredzēts. Izstrādājot tīmekļa lietojumprogrammas, žurnālfails kļūst par vissvarīgāko atkļūdošanas informācijas avotu. Tiks apspriestas syslog dēmona funkcijas, kas ir atbildīgs par sistēmas informācijas reģistrēšanu.
Kas ir syslog
Syslog ir centralizēts pakalpojums, kas apkopo un ieraksta žurnāla informāciju no dažādiem operētājsistēmas komponentiem un lietotāju procesiem. Trešo pušu programmas, kā likums, var strādāt ar saviem žurnālfailiem neatkarīgi, lai gan daudzas no tām var konfigurēt darbam ar syslogd dēmonu. Syslog izmantošanas priekšrocības ietver iespēju pārvaldīt nepieciešamās informācijas vākšanu, izmantojot vienu konfigurācijas failu, kas nodrošina iegūto žurnālfailu konsekvenci un galu galā vienkāršo to pārvaldību.
Syslog pakalpojumu nodrošina syslogd dēmons, kas tiek automātiski palaists sistēmas startēšanas laikā. Tas pastāvīgi atrodas atmiņā, gaidot ziņojumus no citiem procesiem un apstrādājot tos atbilstoši saviem iestatījumiem.
Katru ziņojumu raksturo līmenis un avots (iekārta). Līmenis norāda ziņojuma svarīguma pakāpi no sistēmas darbības viedokļa. Fails syslog.h definē šādus līmeņus (prioritātes):
1. tabula. Ziņojumu līmeņi
|
Līmenis |
Apraksts |
|
izcelties, panika |
"panikas" stāvoklis |
|
brīdinājums |
Stāvoklis, kas prasa tūlītēju iejaukšanos |
|
krit |
Kritisks stāvoklis |
|
kļūda, kļūda |
Citas darbības kļūdas |
|
brīdinājums, brīdinājums |
Brīdinājumi |
|
paziņojums |
Ziņojumi, kas nav kļūdas, bet kuriem jums vajadzētu pievērst uzmanību |
|
info |
Informācijas ziņojumi (normāla darbība) |
|
atkļūdošana |
Atkļūdošanas informācija |
1. tabulā ir norādīti ziņojumu līmeņi dilstošā secībā. Šī secība būs nepieciešama vēlāk, apspriežot konfigurācijas faila sintaksi.
Ziņojuma līmeņa apzīmējumi, kas rakstīti tajā pašā rindā (piemēram, emerg un panic), ir sinonīmi, un var izmantot jebkuru no tiem. Tomēr panika, kļūda un brīdinājums (tabulā norādīti otrajā vietā) ir novecojuši, un tos vajadzētu izvairīties, rediģējot konfigurācijas failu. Tā vietā izmantojiet attiecīgi emerg, err un brīdinājumu.
Iespējamie ziņojumu avoti ir norādīti 2. tabulā:
2. tabula. Ziņojumu avoti
|
Avots |
Apraksts |
|
kern |
Kodola ziņojumi |
|
auth, authpriv |
|
|
drošību |
Drošības ziņojumi (piemēram, no ugunsmūra) |
|
konsole |
Ziņojumi, kas nāk uz konsoli (/dev/console) |
|
syslog |
Vietējie syslog ziņojumi |
|
cron |
Krona ziņojumi |
|
Laika dienesta ziņojumi |
|
|
Ziņojumi FTP serveri |
|
|
Drukāt apakšsistēmas ziņojumus |
|
|
pastu |
Pasta pakalpojumu ziņojumi |
|
ziņas |
Ziņu dienesta ziņojumi |
|
uucp |
Ziņojumi UUCP |
|
dēmons |
Ziņojumi no citiem dēmoniem, kas darbojas sistēmā |
|
lietotājs |
Lietotāja procesa ziņojumi |
|
vietējais0 – lokālais7 |
Var izmantot dažādām lietotāju vajadzībām (dažkārt izmanto sistēma) |
Konfigurējot lietojumprogrammu syslog pakalpojuma lietošanai, pārbaudiet, kuru iespēju tā izmanto. Dažas programmas ļauj jums pašiem norādīt avotu. Piemēram, clamd dēmons (galvenais clamav antivīrusa process) pēc noklusējuma izmanto local6, taču ļauj iestatīt citu avotu (konfigurācijas faila parametrs LogFacility). Dažos gadījumos var būt noderīgi apvienot tā ziņojumus ar ziņojumiem no pasta pakalpojumiem, norādot LOG_MAIL kā avotu.
Dēmona palaišanas iespējas
Pilnu startēšanas opciju sarakstu skatiet syslogd man lapā. Šeit mēs apsvērsim tikai dažus no tiem.
Syslog spēj ierakstīt ienākošos ziņojumus žurnālfailos (kas parasti atrodas direktorijā /var/log), nosūtīt tos uz lietotāja konsoli vai pievienoto termināli, nosūtīt tos uz attālo resursdatoru vai nosūtīt tos ārējai utilītai apstrādei. caur cauruļvadu.
Lai strādātu tīklā, syslog izmanto portus 514 (UDP un TCP). Palaižot bez papildu parametriem, syslogd klausīsies šajos portos, gaidot ienākošos ziņojumus. Slēdzis -s neļauj pieņemt ienākošos ziņojumus, bet ligzdas 514. portā joprojām tiek izveidotas izejošajiem savienojumiem, lai syslogd varētu nosūtīt ziņojumus attālajiem resursdatoriem. Slēdža dubultošana (-ss) atspējo arī izejošos savienojumus.
Pēc noklusējuma syslogd tiek startēts ar slēdzi -s (sk. /etc/defaults/rc.conf, parametru syslogd_flags), tāpēc ienākošie savienojumi ir aizliegti. Ja vēlaties izmantot servera syslog pakalpojumu, lai apkalpotu vairākas mašīnas, failam /etc/rc.conf pievienojiet šo rindiņu:
syslogd_flags= ””
Tas ignorēs vērtību, kas iestatīta failā /etc/defaults/rc.conf, un syslogd varēs apkalpot ienākošos savienojumus. Protams, šajā gadījumā ir nepieciešams nodrošināt nepieciešamo drošības līmeni, izslēdzot iespēju citiem saimniekiem kaut ko ierakstīt jūsu žurnālos. Slēdzis -a ļauj iestatīt ierobežojumus ienākošajiem savienojumiem (skatiet man syslogd). Svarīga loma ir arī pareizi konfigurētam ugunsmūrim.
Vēl viens noderīgs slēdzis -l ļauj norādīt papildu ligzdas failus, kurus syslogd dēmons klausās papildus noklusējuma /var/run/log. Piemēram, šī atslēga ir nepieciešama, lai syslog varētu apkalpot programmas, kas darbojas chrootētā vidē. Jo īpaši šādi darbojas named, sākot ar BIND 9. FreeBSD 5.3 sistēmā syslogd tiek startēts ar šādiem taustiņiem:
#ps-vasks | grep syslog
| 321 ?? Ss 0:01.67 /usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log -s |
Konfigurācijas faila sintakse
Reģistrācija ir konfigurēta failā /etc/syslog.conf. Pats par sevi saprotams, ka to var rediģēt tikai root lietotājs. Šajā failā ir divu veidu virknes – sauksim tos par “filtriem” un “noteikumiem”.
Filtra rinda norāda programmu vai resursdatoru, no kura ziņojumiem no tā tiks piemēroti šādi noteikumi. Formas “!prog” (vai “#!prog”) filtrs norāda, ka šīs rindas attiecas uz žurnāliem, ko ģenerē norādītā prog programma. Sinonīms šim ierakstam ir “!+prog”. Savukārt rinda "!-prog" norāda, ka turpmākie noteikumi attieksies uz visiem ziņojumiem, izņemot tos, kas nāk no prog programmas. Ir atļauts uzskaitīt vairākas programmas, atdalot tās ar komatiem, savukārt zīme “+” vai “-” attiecas uz visu sarakstu.
Ja filtra virkne ir norādīta kā "+saimniekdatora nosaukums", norādītais resursdators tiks izmantots kā ziņojumu avots, kas jāapstrādā saskaņā ar turpmākajiem noteikumiem. Tāpat kā programmās, simbols “-” norāda, ka noteikumi attieksies uz visiem ziņojumiem, izņemot tos, kas nāk no norādītā resursdatora. Varat norādīt saimniekdatoru sarakstu, atdalot tos ar komatiem.
Rakstzīme “*”, kas norādīta kā programma vai resursdators, ignorēs iepriekš iestatīto filtru. Tas ir, noteikumi, kas norādīti pēc šādas rindas, attieksies uz visiem ziņojumiem. Filtri ar resursdatora vai programmas nosaukumu ir neatkarīgi viens no otra un var darboties vienlaikus. Piemēram:
# Šeit atrodamie noteikumi attiecas uz visiem ziņojumiem
Mans.saimnieks
# Noteikumi attiecas uz visiem ziņojumiem no my.host
Mežizstrādnieks
# Noteikumi tiek piemēroti ziņojumiem no reģistrētāja no my.host (resursdatora filtrs paliek spēkā)
# Noteikumi attiecas uz ziņojumiem no su uz my.host
# Noteikumi attiecas uz ziņojumiem no su no jebkura resursdatora (resursdatora filtrs tiek atcelts, programmas filtrs turpina darboties)
# Noteikumi attiecas uz visiem ziņojumiem (tiek atcelts arī programmas filtrs)
Noteikumu rindas izskatās šādi:
iekārta.CMP līmeņa galamērķis
Šeit iekārta ir ziņojuma avots (“*” apzīmē jebkuru avotu), līmenis ir ziņojumu līmenis, kas tiks apstrādāti saskaņā ar šo noteikumu. Pakalpojuma vārds “nav”, kas norādīts līmeņa vietā, dod norādījumus pilnībā izslēgt ziņojumus no šī avota.
CMP – salīdzināšanas darbība (ir atļauti simboli “>”, “”.<», «=», «>=», «<=», а также символ отрицания «!»). Если символ сравнения не указан, подразумевается «больше или равно», то есть обрабатываются все сообщения уровня level и выше.
Galamērķis norāda, kur šis ziņojums ir jāsaglabā. Tas var būt žurnāla fails (tiek norādīts pilns ceļš, sākot ar “/”), attālā servera adrese (sākot ar simbolu “@”), lietotājvārds (ziņojumi tiks nosūtīti uz termināli, uz kuru lietotājs ir nosūtīts savienots). Ziņojumu var arī pārsūtīt uz ārēju programmu apstrādei, kurai tiek izmantots konveijera simbols “|”.
Daži noteikumu piemēri
Visi kodola ziņojumi tiks nosūtīti uz failu kern.log.
kern.* /var/log/kern.log
Visi kļūdu ziņojumi, kā arī emerg, brīdinājuma un kritiskā līmeņa ziņojumi tiks ievietoti all-err.log. Ievērojiet defisi pirms žurnālfaila nosaukuma. Pēc noklusējuma ziņojumi tiek buferizēti atmiņā un ierakstīti diskā, kad buferis ir pilns. Tas samazina failu sistēmas slodzi, taču var tikt zaudēta daļa informācijas, ja iekārta avarē. Defise pirms faila nosaukuma liek syslogd dēmonam nekavējoties rakstīt ziņojumus diskā.
*.err -/var/log/all-err.log
Lietotāja procesu atkļūdošanas ziņojumi tiks izvadīti terminālī, kuram pašlaik ir pievienots lietotājs Vasya.
user.debug Vasya
Visi ziņojumi no ziņām un e-pasta pakalpojumiem tiks pārsūtīti uz syslog.host.ru iekārtas portu 514.
pasts.*,ziņas.* @syslog.host.ru
Visi drukas pakalpojuma ziņojumi, kuru līmenis ir zemāks par brīdinājumu, tiks ievietoti norādītajā failā. Kā minēts iepriekš, noklusējuma salīdzinājums ir "lielāks par vai vienāds ar" un "!" apgriež to, aizstājot ar “mazāk”. Ja nepieciešams izslēgt noteiktu līmeni, izmantojiet konstrukciju “!=”.
lpr.!warning /var/log/printers.log
atkļūdošanas līmeņa (un tikai šī) ziņojumi ar iekārtas level0 un level3 tiks izvadīti uz visiem pievienotajiem termināļiem.
level0,level3.=atkļūdot *
Laika pakalpojuma ziņojumi, kas ir augstāki par kritisko (tas ir, parādīšanās un brīdinājuma) un mazāki vai vienādi ar paziņojumu (paziņojums, informācija un atkļūdošana), tiks nosūtīti uz ntpuser un saknes lietotāju termināliem.
ntp.>krit,<=notice ntpuser,root
Visi brīdinājuma līmeņa ziņojumi, izņemot tos, kas nāk no pasta pakalpojumiem, tiks ierakstīti warn.log failā.
*.=warning,mail.none /var/log/warn.log
Šajā gadījumā visi ziņojumi, kuru līmenis ir lielāks vai vienāds ar crit, tiks nosūtīti pa e-pastu root lietotājam.
*.krit | pasts -s “kritiskā ziņojuma” sakne
Kā redzat, konfigurācijas faila formāts ļauj vienā rindā uzskaitīt vairākus līmeņus, avotus un galamērķus, padarot konfigurāciju elastīgāku. Lai izmaiņas pēc rediģēšanas stātos spēkā, jums ir jānosūta HUP signāls uz syslogd procesu:
# kill – HUP `cat /var/run/syslog.pid`
Jāņem vērā, ka, ja ziņojums konfigurācijas failā atrodas zem vairākām rindām, tas tiks apstrādāts atbilstoši katrai no tām. Piemērs:
pasts.* /var/log/maillog
*.=err /var/log/error.log
Šajā gadījumā mail.err ziņojumi nonāks gan mapē maillog, gan error.log.
Konfigurācijas faila izveides stratēģija
Noslēdzot konfigurācijas faila apskatu, es teikšu dažus vārdus par tā apkopošanas stratēģijām. Papildus ļoti populārajam “kamēr tas darbojas”, mēs varam atšķirt divus galvenos, kurus mēs aptuveni sauksim par “pēc avota” un “pēc mērķa”.
- Pirmā stratēģija, ko var redzēt vairākos GNU/Linux izplatījumos, ir rakstīt atšķirīgu noteikumu katram ziņojuma avotam (vai noteikumu grupai, ja ziņojumi dažādos līmeņos jāapstrādā atšķirīgi). Tās priekšrocība ir tā, ka ir viegli noteikt, kur tiek ierakstīti ziņojumi no konkrētiem pakalpojumiem.
- Stratēģija "pēc galamērķa" ietver, ja iespējams, tikai vienas rindiņas izveidi katram ziņojuma, piemēram, faila, "adresātam". Šo pieeju jo īpaši ievēro FreeBSD. Rezultātā jūs varat viegli noteikt, kāda informācija tiek ierakstīta konkrētajā žurnālfailā, bet, piemēram, kodola ziņojumu adresāti ir jāapkopo visā konfigurācijas failā.
Logger utilīta
Sistēmā ir iekļauta reģistrētāja utilīta, kas ļauj nosūtīt ziņojumus uz syslog pakalpojumu tieši no komandrindas. Tas ir ērti lietojams, pārbaudot konfigurācijas noteikumus, kā arī izstrādātajos skriptos to darbības reģistrēšanai. Piemēri:
user$ logger -p user.err “Kļūda lietotāja programmā!”
user$ logger -h syslog.host.ru “Pārbaudi to”
Pirmajā piemērā tiks nosūtīts ziņojums ar objekta lietotāja līmeņa kļūdu, kas tiks apstrādāts atbilstoši konfigurācijas failam. Otrā komanda nosūtīs ziņojumu attālajam saimniekdatoram, noklusējuma avots un līmenis tiks iestatīts uz user.notice.
Rotācijas mehānismu izmantošana
Iepriekš apspriestais reģistrēšanas mehānisms nenodrošina nekādu žurnālfailu pārvaldību. Ziņojumi tiek vienkārši ievietoti tajos saskaņā ar konfigurācijas failā aprakstītajiem noteikumiem. Tas nozīmē, ka žurnālfaili pastāvīgi pieaugs, un, ja nekas netiks darīts, tie agrāk vai vēlāk aizpildīs visu pieejamo attiecīgā nodalījuma vietu. Lai no tā izvairītos, tiek izmantots rotācijas mehānisms.
Piemēram, kad faila debug.log izmērs pārsniedz 100 MB, tas tiek pārdēvēts par debug.log.0 un tiek iepakots failā debug.log.0.bz2. Tā vietā tiek izveidots jauns debug.log. Pēc tam, kad jaunā faila lielums sasniedz 100 MB, fails debug.log.0.bz2 tiek pārdēvēts par debug.log.1.bz2 un tiek atkārtota iepriekš aprakstītā procedūra. Sistēma saglabā tikai noteiktu skaitu arhīva failu, dzēšot vecākos. Šī ir rotācija.
newsyslog utilīta
FreeBSD sistēmā par rotāciju ir atbildīga newsyslog utilīta, kuru pēc noklusējuma katras stundas sākumā palaiž cron dēmons. Rotācijas periodu var mainīt, rediģējot /etc/crontab.
Iepriekš minētajā piemērā norādītie rotācijas parametri (faila lielums, iepakojums), kā arī vairāki citi ir iestatīti /etc/newsyslog.conf konfigurācijas failā. Katram failam, kas jāpagriež, tajā ir iekļauta deviņu lauku rinda: faila nosaukums, īpašnieks un grupa, piekļuves tiesības, lielākais numurs arhīva faila nosaukumā, maksimālais faila lielums, rotācijas periods, papildu karodziņi un ceļš uz Lietojumprogrammas PID fails, uz kuru pēc pagriešanas jānosūta signāls, un nosūtāmā signāla numurs. (Var būt nepieciešams nosūtīt signālu procesam, piemēram, ja process visu laiku saglabā žurnāla failu atvērtu; ja tas nav izdarīts, izmantotais faila deskriptors neatbilst jaunizveidotajam failam.) Daži lauki var tikt izlaisti. . Šeit ir divi pilni un “tipiski” piemēri:
/var/log/pflog root:wheel 600 3 100 * JB /var/run/pflog.pid 1
Saskaņā ar šo noteikumu pflog fails ir jāpārraksta, tiklīdz tā lielums pārsniedz 100 MB (5. lauks) neatkarīgi no laika (6. laukā ir “*” rakstzīme). Arhivētajiem failiem būs tādi nosaukumi kā pflog.X.bz2 (pflog.0.bz2, pflog.1.bz2 utt.), un X nedrīkst būt vairāk par trim (3. parametrs 4. laukā). J karodziņš norāda, ka arhīva failam jābūt iesaiņotam, izmantojot utilītu bzip2. Pateicoties B karogam, rotācijas pakalpojuma ziņojumi netiks pievienoti arhivētajiem un jaunizveidotajiem failiem, jo fails tiek uztverts kā binārs. Jaunizveidotais fails piederēs saknes lietotājam un riteņu grupai (šo lauku var izlaist, jo tas ir noklusējuma īpašnieks). Atļaujas tiks iestatītas uz rw------- (skaitliskā vērtība 600), kas nozīmē, ka tikai īpašnieks varēs lasīt un rakstīt šo failu. Visbeidzot, procesam, kura PID ir saglabāts mapē /var/run/pflog.pid, tiks nosūtīts signāls 1 (HUP), lai atkārtoti atvērtu žurnāla failu.
/var/log/maillog 640 7 * @T00 J
Šis noteikums nosaka pasta žurnāla faila rotācijas parametrus: neatkarīgi no izmēra (zvaigznīte 5. laukā) fails tiks pārrakstīts katru vakaru pulksten 00:00 (man newsyslog.conf laika formāts ir aprakstīts pietiekami detalizēti). Arhīvs ir jāiepako, tiks saglabāti pēdējie 8 arhīvi (no 0 līdz 7 ieskaitot), jaunizveidotais fails piederēs root lietotājam (noklusējuma vērtība, tāpēc īpašnieka lauks tiek izlaists) un tam ir atļaujas rw-r -----.
Lai skatītu iesaiņotos žurnālfailus, varat izmantot utilītas zcat un bzcat (attiecīgi gzip un bzip2). Midnight Commander automātiski izsauc atbilstošās utilītas.
Pēc faila newsyslog.conf rediģēšanas nekur nav jāsūta signāli – konfigurācija tiks no jauna nolasīta nākamreiz, kad tiks izsaukts newsyslog.
Jāatzīmē, ka newsyslog utilīta nav saistīta ar syslogd dēmonu. Tas ir, to var izmantot, lai pagrieztu visus failus, kuriem tas ir nepieciešams. Ja ir iespējota rotācija žurnāliem, kurus lietojumprogramma uztur neatkarīgi (piemēram, clamd vai kalmāru žurnāli), esiet īpaši uzmanīgs, norādot īpašnieku un piekļuves tiesības. Nepareizi norādot tos, iespējams, ka pēc rotācijas lietojumprogramma, kas darbojas kā nepievilcīgs lietotājs, nevarēs rakstīt jaunizveidotajā failā.
Summējot
Syslog sistēma ir ļoti spēcīgs un efektīvs rīks dažādu sistēmā notiekošo notikumu reģistrēšanai. Noklusējuma iestatījumi ir diezgan līdzsvaroti un labi darbojas lielākajā daļā sistēmu. Tomēr izpratne par syslog darbību ļaus būtiski uzlabot reģistrēšanas kvalitāti, pielāgojot žurnāla informācijas ierakstīšanu stingri atbilstoši savām vajadzībām.
