В процессе своей работы система отслеживает и сохраняет в специальные файлы некоторые события, которые она считает важными или просто нужными для использования в целях исправления и отладки ошибок, сбойных конфигураций и т. д. Файлы, в которых хранятся эти события называются файлами журналов или файлами регистрации. Нередко файлы регистрации занимают слишком много дискового пространства, что может свидетельствовать как о неисправности системы, ошибках конфигураций, так и о просто неправильной настройке демонов регистрации событий, которые отслеживают и собирают всё подряд. Таким образом работа с системой регистрации событий — важная составляющая в работе любого системного администратора, от которой всецело зависит качество обслуживания систем и как следствие — их надёжность и долговечность.
Как устроена система регистрации событий?
Опытные системные администраторы знают, что просматривать и анализировать журналы (файлы) регистраций необходимо регулярно и с особой тщательностью. Информация, содержащаяся в журналах очень часто помогает быстро решить возникающие неполадки или выявить скрытые проблемы в конфигурации системы. Для отслеживания событий системой, проверки журналов, учёта, хранения, архивирования и удаления информации из этих журналов должен быть разработан и утверждён специальный регламент для организации, эксплуатирующей и/или обслуживающей системы, серверы и сети.
Основным инструментом регистрации событий в UNIX и Linu до сих пор остаётся демон syslogd системы Syslog. Но следует иметь в виду также и то, что на протяжении длительного времени из-за многообразия всевозможных ответвлений UNIX и версий Linux множество программных пакетов, служебных скриптов, сетевых демонов используют свои собственные журналы, порой отличающимся экзотическим форматом.
В общем случае системой Syslog (и другими специализированными программами) производится перехват отслеживаемого события и регистрация его в файле регистрации. Само регистрируемое событие представляет собой строку текста, содержащую данные о дате/времени, типе, степени важности события. Также в этот набор могут быть, в зависимости от ситуации, включены и другие данные. Сама строка регистрируемого события для выделения указанных компонентов разбивается символами-разделителями: пробелы, табуляции, а также знаками пунктуации.
Журналы регистрации легко просматривать, поскольку они являются обычными текстовыми файлами. Для эффективной работы с журналами используются самые стандартные инструменты из базовой поставки любого дистрибутива — команды cat и grep. Если нужно «ворошить» очень большие и сложные по формату журналы, то можно (и даже нужно) вместо утилиты grep использовать другой, гораздо более производительный и гибкий в подобных задачах инструмент — утилиту awk. Язык обработки текста Perl также очень хорошо подходит для этого.
Типичная запись системного журнала системы Syslog обычно выглядит следующим образом:
Dec 18 15:12:42 backup.main.superhosting.ru sbatchd[495]: sbatchd/main: ls_info() failed: LIM is down; try later; trying ... Dec 18 15:14:28 system.main.superhosting.ru pop-proxy[27283]: Connection from 186.115.198.84 Dec 18 15:14:30 control.main.superhosting.ru pingem[271] : office.main.superhosting.ru has not answered 42 times Dec 18 15:15:05 service.main.superhosting.ru vmunix: Multiple softerrors: Seen 100Corrected Softerrors from SIMM J0201 Dec 18 15:15:16 backup.main.superhosting.ru PAM_unix[17405]: (sshd) session closed 'for user trent
В данном случае можно видеть, что в одном из журналов Syslog собраны события из нескольких источников: программы sbathd, pingem, pop-proxy. Также можно видеть, что события регистрируются для нескольких хостов, взаимодействующих с данной системой: backup, system, office и service.
log файлы и их расположение в Linux
Как уже отмечалось, в системах UNIX и Linux нет чётких соглашений о том, где и как должны храниться журналы регистрации. Они могут быть разбросаны хоть по всей файловой системе, поэтому для каждого администратора важно сразу разобраться, где и для каких пакетов и демонов находятся соответствующие файлы журналов. Но несмотря на отсутствие чётких формальных регламентов относительно мест хранения журналов, всё же существует традиционно сложившееся правило, что эти файлы должны находиться в каталогах /var/log, /var/log/syslog, а также в /var/adm.
Как правило, доступ для чтения файлов в указанных каталогах предоставляется только суперпользователю, однако нет ничего страшного, если для часто просматриваемых журналов, в которых также нет важной системной информации настроить более «демократический» режим доступа. Обычно к такому варианту также прибегают для удобства и экономии времени, когда нужно часто и регулярно изучать некоторые журналы, например для веб-сервера Apache, которые обычно находятся в /var/log/apache2 или /var/log/httpd.
Стоит также помнить и о том, что бывают случаи, когда (особенно на сбойных конфигурациях) общий объём файлов журналов резко увеличивается, при этом велик риск «уложить» систему. Для удобства контроля за свободным пространством на устройствах хранения, а также для надёжности каталог /var часто выносят в отдельную файловую систему на отдельном разделе.
Некоторые специальные файлы журналов
В следующей таблице приводятся сведения о некоторых журнальных файлах, информация из которых очень полезна для системного администрирования:
| Файл | Программа | Место | Частота | Системы | Назначение |
| acpid | acpid | Ф | 64к | RZ | События, связанные с системой питания |
| auth.log | sudo и прочие | S | М | U | Информация об авторизации |
| apache2/* | httpd или apache2 | Ф | Д | ZU | Журналы веб-сервера Apache |
| apt* | APT | Ф | М | U | Установщики пакетов |
| boot.log | Сценарии запуска
системы |
Ф | М | R | Логи сценариев запуска |
| boot.msg | Ядро | В | — | Z | Образ буфера сообщений ядра |
| cron,
cron/log |
cron | S | Н | RAH | Логи и сведения о работе демона cron |
| cups/* | CUPS | Ф | Н | ZRU | Сообщения, связанные с системой печати
(CUPS) |
| daemon.log | Разное | S | Н | U | Сообщения средств демонов |
| debug | Разное | S | Д | U | Сообщения для отладки |
| dmesg | Ядро | В | — | RU | Образ буфера сообщений ядра |
| dpkg.log | dpkg | Ф | М | U | Установщики пакетов |
| faillog | login | Н | Н | RZU | Информация о неудачных попытках авторизации |
| apache2/* | Httpd или apache2 | Ф | Д | R | Журналы веб-сервера Apache для каталога /etc |
| kern.log | login | В | — | RZ | Все сообщения средств ядра |
| lastlog | login | В | — | RZ | Время последней регистрации в системе каждого пользователя (этот файл бинарный) |
| mail* | Программы электронной почты | S | Н | Все | Сообщения средств электронной
почты |
| messages | Разное | S | Н | RZUS | Основной системный журнальный файл |
| rpmpkgs | cron.daily | В | Д | R | Список установленных RPM-пакетов |
| samba/* | smbd и прочие | Ф | Н | — | Сведения о работе сервера Samba |
| secure | sshd и прочие | S | М | R | Конфиденциальные авторизационные сообщения |
| sulog | su | Ф | — | SAH | Сведения об удачных и неудачных попыток использования команды su |
| syslog* | Разное | S | H | SUH | Основной системный журнальный файл |
| warn | wpar | S | H | Z | События уровня системных предупреждений/ошибок |
| wpars/* | wpar | Ф | — | А | Сведения о событиях загрузочных разделов |
| wtmp | login | В | M | Все | Сообщения о регистрации в системе (бинарный файл) |
| xen/* | Xen | Ф | 1m | RZU | Информация от монитора виртуальных машин Xen |
| Xorg.n.log | Xorg | Ф | Н | RS | Сообщения об ошибках сервера X Windows |
| yum.log | yum | Ф | М | R | Журнал управления пакетом |
Для данной таблицы действуют следующие обозначения: S — Syslog, В — встроенное имя, Ф — конфигурационный файл, Д — ежедневно, Н — еженедельно, М — ежемесячно, NN[km] — размер в килобайтах или мегабайтах, Z — SUSE, R — Red Hat и CentOS, S — Solaris, H — HP-UX, A — AIX. В столбце «Частота» указывается частота, с которой удаляется устаревшая информация, связанная со временем или с объёмом файла. В столбце «Программа» указывается программа, создающая файл.
Следует отметить также, что большая часть сообщений для представленных в таблице файлов направляется в систему Syslog. Уровень критичности и программа, создающая файл задаются в конфигурационном файле /etc/initlog.conf. — так работает система Syslog. Файл faillog является двоичным, и поэтому может быть прочтён утилитой failog.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
