A rendszergazdáknak, sőt a rendszeres Linux-felhasználóknak is gyakran meg kell nézniük a naplófájlokat a hibaelhárításhoz. Valójában ez az első dolog, amit minden rendszergazdának meg kell tennie, ha bármilyen hiba történik a rendszerben.
Maga a Linux operációs rendszer és a futó alkalmazások különféle típusú üzeneteket generálnak, amelyek különböző naplófájlokba kerülnek. A Linux speciális szoftvereket, fájlokat és könyvtárakat használ a naplófájlok tárolására. Ha tudja, hogy mely fájlokban találhatók a programok naplói, akkor időt takaríthat meg, és gyorsabban megoldhatja a problémát.
Ebben a cikkben megvizsgáljuk a Linux naplózási rendszerének fő részeit, a naplófájlokat és a Linux naplók megtekintéséhez használható segédprogramokat.
A legtöbb Linux naplófájl a /var/log/ mappában található. A rendszeréhez tartozó naplófájlokat az ls paranccsal listázhatja ki:
Rw-r--r-- 1 gyökér gyökér 52198 május 10. 11:03 alternatives.log
drwxr-x--- 2 gyökér gyökér 4096 november 14. 15:07 apache2
drwxr-xr-x 2 root root 4096 ápr. 25. 12:31 apparmor
drwx------ 2 root root 4096 május 5. 10:15 audit
-rw-r--r-- 1 root root 33100 május 10. 10:33 boot.log
Az alábbiakban 20 különböző Linux naplófájlt nézünk meg, amelyek a /var/log/ könyvtárban találhatók. Néhány ilyen napló csak bizonyos disztribúciókon található, például a dpkg.log csak Debian-alapú rendszereken található.
/var/log/messages- globális Linux rendszernaplókat tartalmaz, beleértve a rendszer indításakor naplózottakat is. Ebbe a naplóba többféle üzenet íródik: ezek a mail, cron, különféle szolgáltatások, kernel, hitelesítés és mások.
/var/log/dmesg- a kerneltől kapott üzeneteket tartalmazza. Sok üzenetet regisztrál a rendszerindítási szakaszban, információkat jelenítenek meg a rendszerindítási folyamat során inicializált hardvereszközökről. Mondhatjuk, hogy ez a Linux rendszer újabb naplója. A naplóban lévő üzenetek száma korlátozott, és ha a fájl megtelik, minden új üzenettel a régiek felülíródnak. A napló üzeneteit a dmseg paranccsal is megtekintheti.
/var/log/auth.log- információkat tartalmaz a rendszer felhasználói jogosultságáról, beleértve a felhasználói bejelentkezéseket és a használt hitelesítési mechanizmusokat.
/var/log/boot.log- A rendszer indításakor naplózott információkat tartalmaz.
/var/log/daemon.log- Tartalmazza a különböző háttérdémonok üzeneteit
/var/log/kern.log- Üzeneteket is tartalmaz a kerneltől, ami hasznos a kernelbe épített egyéni modulok hibaelhárításához.
/var/log/lastlog- Információkat jelenít meg az összes felhasználó utolsó munkamenetéről. Ez egy nem szöveges fájl, és a lastlog paranccsal kell megtekinteni.
/var/log/maillog /var/log/mail.log- a rendszeren futó e-mail szerver naplói.
/var/log/user.log- Információ az összes naplóból felhasználói szinten.
/var/log/Xorg.x.log- X szerver üzenetnapló.
/var/log/alternatives.log- Információ a frissítés-alternatívák program működéséről. Ezek alapértelmezés szerint szimbolikus hivatkozások parancsokra vagy könyvtárakra.
/var/log/btmp- A Linux naplófájlja információkat tartalmaz a sikertelen bejelentkezési kísérletekről. A fájl megtekintéséhez célszerű a last -f /var/log/btmp parancsot használni
/var/log/cups- Minden nyomtatással és nyomtatókkal kapcsolatos üzenet.
/var/log/anaconda.log- a telepítés során regisztrált összes üzenet ebbe a fájlba kerül
/var/log/yum.log- naplózza az összes információt a Yum csomagok telepítésével kapcsolatban.
/var/log/cron- Amikor a Cron démon elindít egy programot, ebbe a fájlba írja magának a programnak a jelentését és üzeneteit.
/var/log/secure- hitelesítéssel és engedélyezéssel kapcsolatos információkat tartalmaz. Például az SSHd itt mindent naplóz, beleértve a sikertelen bejelentkezési kísérleteket is.
/var/log/wtmp vagy /var/log/utmp - Linux rendszernaplók , tartalmaz egy felhasználói bejelentkezési naplót. A wtmp paranccsal megtudhatod, hogy ki és mikor jelentkezett be.
/var/log/faillog- napló linux rendszerek, sikertelen bejelentkezési kísérleteket tartalmaz. Használja a faillog parancsot a fájl tartalmának megjelenítéséhez.
/var/log/mysqld.log- Linux naplófájlok a MySQL adatbázis-kiszolgálóról.
/var/log/httpd/ vagy /var/log/apache2- Apache webszerver linux11 naplófájljai. A hozzáférési naplók az access_log fájlban, a hibák pedig az error_log fájlban találhatók
/var/log/lighttpd/ - linux naplók lighttpd webszerver
/var/log/conman/- ConMan kliens naplófájlok,
/var/log/mail/- ez a könyvtár további levelezőszerver-naplókat tartalmaz
/var/log/prelink/- Prelink program könyvtárakat és futtatható fájlok a letöltési folyamat felgyorsítása érdekében. A /var/log/prelink/prelink.log a program által módosított .so fájlokról tartalmaz információkat.
/var/log/audit/- Az auditált audit démon által generált információkat tartalmaz.
/var/log/setroubleshoot/ - Az SE Linux a setroubleshootd démont (SE Trouble Shoot Daemon) használja a biztonsági problémák bejelentésére. Ez a napló a program üzeneteit tartalmazza.
/var/log/samba/- információkat és naplókat tartalmaz fájlszerver Samba, amely a Windows megosztott mappáihoz való csatlakozásra szolgál.
/var/log/sa/- A Sysstat csomag által gyűjtött .cap fájlokat tartalmazza.
/var/log/sssd/- A kezelő rendszerbiztonsági démon használja távoli hozzáférés a könyvtárakhoz és a hitelesítési mechanizmusokhoz.
A naplók Linuxon való megtekintéséhez kényelmes több parancssori segédprogram használata linux karakterláncok. Bárki lehet szöveg szerkesztő, vagy speciális segédprogram. Valószínűleg szuperfelhasználói jogokra lesz szüksége a naplók megtekintéséhez Linux alatt. Íme az erre a célra leggyakrabban használt parancsok:
Nem részletezem ezeket a parancsokat, mivel a legtöbbjüket már részletesen ismertetjük weboldalunkon. De mondok néhány példát. A Linux naplók megtekintése nagyon egyszerű:
Megnézzük a /var/log/messages naplót a görgetés lehetőségével:
kevesebb /var/log/messages
Linux naplók megtekintése valós időben:
tail -f /var/log/messages
Nyissa meg a dmesg naplófájlt:
cat /var/log/dmesg
A dmesg első sorai:
fej /var/log/dmesg
Csak hibákat ad ki a /var/log/messages fájlból:
grep -i hiba /var/log/messages
Ezenkívül grafikus segédprogramok segítségével megtekintheti a naplókat Linuxon. A System Log Viewer használható kényelmes megtekintésés a rendszernaplók megfigyelése egy Linux laptopon vagy PC-n.
A programot bármely olyan rendszerre telepítheti, amelyen X szerver van telepítve. Ezenkívül bármely grafikus tesztszerkesztő használható a naplók megtekintéséhez.
A /var/log könyvtárban minden szükséges információt megtalál Linux munka. A mai cikkből eleget tanult ahhoz, hogy tudja, hol keressen és mit keressen. A naplók megtekintése Linuxban nem okoz problémát. Ha kérdésed van, tedd fel kommentben!
Démon be Unix nevezd meg a futó programot "a háttérben", anélkül, hogy vezérlést igényelne a termináltól, és lehetőséget ad arra, hogy egyéb munkáit „előtérben” végezze. A démont elindíthatja egy másik folyamat, például a rendszerindítási szkriptek egyike anélkül, hogy hozzáférne a vezérlőterminálhoz, vagy egy felhasználó valamelyik terminálról, de ebben az esetben is démon "nem fog el" terminál működése közben. Természetesen felmerül a kérdés, hogy mely démonprogramokra van szükség a rendszeren, és melyeket lehet letiltani.
A kifejezés eredete
A valós (azaz nem számítógépes) világban a „démon” kifejezés (vagy szó) szellemet (leggyakrabban gonoszt) vagy „belső hangot” jelöl. Érdemes megjegyezni, hogy mindkét érték a Unix démonokra is vonatkozik. A mitológiai démonokhoz hasonlóan a Unix démonai valahol a "színfalak mögött" rejtőznek, és megpróbálnak láthatatlanok maradni. És mint egy belső hang vagy a tudatalattink, mindig „készen vannak”, mindig elérhetőek, mindig képesek „megnyilvánulni”. Maga a „démon” szó az egyik ilyen számítógépes betűszót jelenti, melynek eredetét éppoly nehéz megállapítani, mint eldönteni, hogy kezdetben csirke vagy tojás volt. Feltehetőleg ez a kifejezés ("DAEMON") a szavakból származik "Lemez és Végrehajtásfigyelő" program.
Miután nekiálltam tanulmányozni a kérdést, elmentem az egyik paphoz, aki egy számítógépet használ operátorral Ubuntu rendszer. Minden esetre vettem egy lemezt a Windows rendszerrel. Soha nem tudhatod... Közvetlen ember vagyok, nem vergettem, azonnal kiadtam minden információt. Hosszan és részletesen elmagyarázva. Nagy boldogságomra nyugodtan vette az egészet, néhol, miközben beszéltem, még mosolygott is, főleg, amikor a nővérem férje ubuntutól való elutasításának okairól beszélt. Apa, normális ember, már 50 éves, kicsit többet beszélgettünk, vagy inkább én beszéltem, hogy megértsük, jól tanulta, amit mondtam. Ezek után azt mondta, szó szerint nem emlékszem, de a felvevőn nem tudtam kitalálni, úgyhogy saját szavaimmal írom le. Általánosságban elmondható, hogy nincs semmi baj azzal, ha Linuxon ezt a kifejezést használjuk, a lényeg az Istenbe vetett hit.
Bevezetés a szolgáltatásokba
Az /etc/init.d fájlban hivatkozott démonok szolgáltatásként vagy szolgáltatásként futnak Linuxon. A szolgáltatások olyan programok, amelyeket az /etc/init.d könyvtárban található init szkriptek indítanak el és állítanak le. E szolgáltatások közül sok a rendszerindítási szakaszban indul el. A /sbin/service segédprogram felhasználói felületet (interakciót) biztosít inicializálási szkriptekkel. Ezek a szkriptek pedig maguk is felületet biztosítanak a szolgáltatások kezeléséhez, lehetőséget adva a felhasználónak a szolgáltatás indítására, leállítására, újraindítására, a szolgáltatás állapotának lekérdezésére és egyéb műveletek végrehajtására a szolgáltatáson. Például a httpd szolgáltatás inicializálási parancsfájlja a következő beállításokkal rendelkezik:
/sbin/service httpd Használat: httpd (start|stop|restart|condrestart|reload|status|fullstatus|graceful|help|configtest)
Az összes rendszerszolgáltatás aktuális állapotát a következő opcióval tekintheti meg a szerviz segédprogramban:
/sbin/service --status-all acpid (pid 2481) fut... anacron (pid 2647) fut... atd (pid 2657) fut... auditd (pid 2189) fut...
Ezeknek a szolgáltatásoknak a futási szintjéről, vagyis arról, hogy egy adott szolgáltatás melyik rendszerfutási szint beállítása indul el a rendszerindításkor, a chkconfig segédprogram segítségével szerezhető be vagy módosítható. Nézzük például a syslog szolgáltatás jelenlegi beállításait:
/sbin/chkconfig --list syslog syslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off
Láthatjuk, hogy a syslog szolgáltatás automatikusan elindul, amikor a 2., 3., 4. és 5. szintre lép. A 3. és 4. szinten való indulás letiltásához (egyébként nem jó ötlet) használhatja a a következő chkconfig parancsbeállítás:
/sbin/chkconfig --levels 34 syslog off
A /usr/bin/system-config-services segédprogram biztosítja GUI a rendszerszolgáltatásokhoz, lehetővé téve azok aktuális állapotának megtekintését és módosítását, valamint az indításukat különböző végrehajtási szinteken.
Nézzük meg, hogyan jelennek meg ezek a szolgáltatások és démonok a ps parancs kimenetében. Íme egy rövid kivonat:
UID PID PPID C STIME TTY IDŐ CMD gyökér 1 0 0 23:36 ? 00:00:00 init root 2161 1 0 23:37 ? 00:00:00 auditd root 2177 1 0 23:37 ? 00:00:00 syslogd -m 0 gyökér 2180 1 0 23:37 ? 00:00:00 klogd -x gyökér 2207 1 0 23:37 ? 00:00:00 mcstransd gyökér 2254 1 0 23:37 ? 00:00:00 rpc.statd root 2287 1 0 23:37 ? 00:00:00 rpc.idmapd gyökér 2577 1 0 23:37 ? 00:00:00 crond gyökér 2631 1 0 23:37 ? 00:00:00 /usr/sbin/atd root 2654 1 0 23:37 ? 00:00:00 rhnsd -- 240-es intervallum
Mi az érdekes itt megjegyezni (azon kívül persze, hogy ma túl későn maradtam fent a számítógép előtt)? Mindegyik démon esetében a szülő folyamat azonosítója (PPID) 1. Ez azt jelzi, hogy a démonokat az init folyamat indította el a rendszerindítás során.
Ez az eredmény világosabban látható a következő kimeneten hasznos parancs mint "pstree", megjelenítve a folyamatok "fáját" a "szülők" megadásával. Íme egy kis részlet a pstree kimenetből:
Init-+ |-NetworkManager---2*[(NetworkManager)] |-NetworkManagerD |-acpid |-atd |-auditd-+-python | `-(auditd) |-avahi-daemon---avahi-daemon |-bonobo-activati---(bonobo-activati) |-crond |-cupsd---cups-polld |-2* |-dbus-launch |-dhcdbd---dhclient
További információ a rendszeren lévő démonokról
Kész a bevezető információkkal. Most beszéljünk a rendszerdémonokról külön-külön, és nézzük meg, melyek azok, amelyekkel biztonságosan lehet kísérletezni. Ismét megjegyzem, hogy ez a megjegyzés egy Red Hat Enterprise Linux Beta 2-t használó rendszerről szól a konfigurációban munkaállomás. A rendszer sajátosságaitól függően előfordulhat, hogy több vagy kevesebb démont láthat, köztük olyanokat is, amelyekkel itt nem foglalkozunk.
Az egyes démonok leírása olyan oldalakra mutató hivatkozásokat tartalmaz, ahova eljuthat További információ, de még mindig a legjobb a démonok megismerését a megfelelő kézikönyvoldalak áttekintésével kezdeni. O "Reillynek nagyszerű listája van Linux parancsok ABC sorrendben vannak felsorolva, és a Wikipedia (wikipedia.org) is tartalmaz szakaszokat a legtöbb ilyen démonról. Ezenkívül ne felejtse el megnézni a README fájlokat.
Ez az Advanced Configuration and Power Interface (ACPI) szolgáltatás. Az ACPI egy nyílt iparági szabvány, amely meghatározza a rendszerfelügyeleti műveleteket, elsősorban a plug-and-play eszközészlelést és energiagazdálkodást, beleértve a rendszer indítását és leállítását, valamint a rendszer alacsony fogyasztású módba állítását.
Valószínűleg nem szabad letiltania ezt a szolgáltatást, hacsak nem hibakeresési vagy hardverproblémák megoldása céljából teszi.
További információ: http://www.acpi.info
Ha laptopot használ, ahogy manapság sokan teszik, az egyik probléma az, hogy amikor bizonyos feladatokat a cron démonhoz rendel, nem mindig biztos abban, hogy a számítógép be van-e kapcsolva abban az időpontban, amikor a futásra ütemezett. Az Anacron (a név az "anachronistic cron" vagy valami olyasmiből származik, mint az "elavult cron") úgy oldja meg ezt a problémát, hogy ellenőrzi, hogy a jobok lefutottak-e egy bizonyos ideig. Például az anacron lefuttat egy feladatot, ha az adott számú napon belül nem futott le.
Mikor lehet lemondani az anacron használatáról? Ha a rendszer folyamatosan fut.
Megtagadhatja a cron futtatását, ha anakron fut? Nem; az anacron esetében a munka újraindítási időszaka csak napokban állítható be, percekben és másodpercekben nem.
További információ:
Ez az Advanced Power Management (APM) démon egy BIOS-illesztőprogramon keresztül. Az APM szabványt és az apmd démont most az ACPI és az acpid váltotta fel. Ha a hardver támogatja az ACPI-t, akkor nem kell futtatnia az apmd-t.
Ez egy démon a jobok meghatározott időpontban történő futtatására. Ha nem használod, akkor kikapcsolhatod.
Ez a démon automatikusan csatlakoztatja a meghajtókat és fájlrendszereket, amelyek a következőben vannak meghatározva konfigurációs fájl. Ennek a démonnak a használata kényelmesebbé teszi a cserélhető meghajtókkal való munkát.
További információ: http://freshmeat.net/projects/autofs
A Linux auditáló rendszer kernel szintű rendszerhívásnaplózó és felhasználói területnaplózó eszközökből áll. Az auditd démon a naplózott üzeneteket lemezre írja. Az Auditd konfigurálható, lehetővé téve annak vezérlését és kezelését, hogy milyen információk legyenek a lemezre mentve.
Folytatnom kell az auditálást? A naplókból származó információk nagyon hasznosak lehetnek a rendszerbiztonsággal kapcsolatos minden konfigurálásakor. Például az auditd a SELinux eseménynaplózásában használatos. Vannak olyan segédprogramok is, mint az aureport, amelyek lehetővé teszik az auditnaplók megtekintését. Íme egy példa az aureport segédprogram által generált jelentésre:
összegző jelentés
======================
Időtartomány a naplókban: 2006.11.28. 06:07:04.800 - 02/06/2007 21:10:09.957 Jelentés kiválasztott időpontja: 1969.12.31. 19:00:00 - 02/06/2007:21 10:09.957 Változások száma a konfigurációban: 285 Fiókok, csoportok vagy szerepkörök módosításainak száma: 32 Bejelentkezések száma: 145 Sikertelen bejelentkezések száma: 11 Felhasználók száma: 2 Terminálok száma: 22 Gazdanevek száma: 11 Szám végrehajtható fájlok száma: 27 Fájlok száma: 91 AVC-megtagadások száma: 688 MAC-események száma: 12 Sikertelen rendszerhívások száma: 404 Rendellenes események száma: 0 Anomáliaeseményekre adott válaszok száma: 0 Titkosító események száma: 0 Folyamatok száma Azonosítók: 14022 Események száma: 70694 Avahi-daemon és avahi-dnsconfd
Az Avahi webhely a következőképpen határozza meg: "Az Avahi egy olyan rendszer, amely lehetővé teszi szolgáltatások felfedezését helyi hálózat. Ez azt jelenti, hogy miután számítógépe csatlakozik a helyi hálózathoz, azonnal felfedezheti az elérhető nyomtatókat, megnézheti, milyen megosztott erőforrások érhetők el a hálózaton, megtudhatja, mely hálózati felhasználókkal cseveghet, és így tovább." Az Avahi egy megvalósítás. A Zeroconf egy olyan megközelítés, amely lehetővé teszi a felhasználók számára IP-hálózatok létrehozását speciális konfigurációs szolgáltatások, például DNS-kiszolgálók nélkül.
Az avahi-daemon leggyakoribb használata a Rhythmbox, így láthatja a másokkal megosztott zenei fájlokat. Ha nem ad meg zenét vagy fájlokat a számítógépéről általános hozzáférés, letilthatja ezt a démont.
További információ: http://avahi.org, http://zeroconf.org
Bluetooth és a hidd and pand démonok
Maguk a nevek mindent megmagyaráznak. Indítsa el ezeket a szolgáltatásokat, ha Bluetooth-eszközöket szeretne használni. A ténylegesen elindított démon neve hcid (Host Controller Interface Daemon).
A rejtett démon neve a "Bluetooth Human Interface Device Daemon"-ból származik. Billentyűzet, egér és hanyattegér támogatást nyújt Bluetooth protokollon keresztül. A pand démon pedig támogatja a számítógép Ethernet-hálózathoz való csatlakoztatását Bluetooth-on keresztül.
További információ: http://www.bluetooth.com.
Ez a démon támogatja a közös ISDN alkalmazásprogramozási felületet (Integrated Services Digital Network Application Programming Interface). Akkor kell futtatni, ha hardveres ISDN-komponensekhez csatlakozik. Ez a szolgáltatás elindul capiinit.
További információ: http://www.capi.org/pages
Nem, ennek semmi köze a késő esti ingatlanbefektetési műsorokhoz. A conman szolgáltatás (és a conmand démon) támogatja a konzolkezelést. Támogatja több konzoleszközt és a felhasználók egyidejű munkáját, támogatja a helyi soros eszközöket és a távoli terminálkiszolgálókat (telnet protokoll használatával). Ha több szervert kezel, előfordulhat, hogy a conman-t kell használnia.
További információ: http://home.gna.org/conman/
cpuspeed
Ez a démon megváltoztatja a sebességet CPU az energiafogyasztás csökkentése érdekében. Ha a CPU üresjáratban van, csökkentheti a sebességet, ezzel csökkentve az energiaköltségeket, a teljesítmény javításához pedig növelni kell az energiafogyasztást. Ha azért dolgozol laptop, van értelme a cpuspeed futtatásának.
További információ: http://carlthompson.net/Software/CPUSpeed
crond
Ez a démon a feladatok automatikus futtatására szolgál. Ez minden Linux és Unix rendszeren szükséges. Ne állítsa le vagy tiltsa le ezt a szolgáltatást.
További információ: http://www.unixgeeks.org/security/newbie/unix/cron-1.html , http://www.linuxhelp.net/guides/cron/
CUPS és cups-config-daemon
Ez a "Common UNIX Printing Solution" démon. Ahogy a neve is sugallja, ez egy olyan nyomtatási rendszer, amely különféle fájlformátumokkal és különféle típusú nyomtatókkal működik. Ha nyomtatni szeretne, futtassa ezt a démont a rendszeren.
További információ: http://www.cups.org, http://www.easysw.com/cups/index.php
Ennek a démonnak a neve a "DHcp Client D-Bus Daemon" rövidítése. A Free DeskTop wiki a következő definíciót tartalmazza:
A D-Bus egy üzenetbusz-rendszer, egyszerű módja annak, hogy az alkalmazások kommunikáljanak (vagy interakcióba lépjenek) egymással. A folyamatok közötti kommunikáció mellett a D-Bus segít a folyamat életciklusának koordinálásában; egyszerű és robusztus kódmegvalósítást biztosít egy alkalmazás vagy démon "egyetlen példányának" futtatására, lehetővé téve az alkalmazások és démonok igény szerinti elindítását, amikor a megfelelő szolgáltatásokra szükség van.
Futtatnod kell ezt a démont? Ha a rendszer hálózatba van kötve (hogyan másként?), különösen, ha hálózatok között mozog (például vezetékes hálózatról vezeték nélküli hálózatra vált), akkor indítsa el a NetworkManager-t (a NetworkManager-t kicsit később fogjuk megnézni).
A dhcdbd démon D-Bus interfészt biztosít a dhclient, az ISC DHCP kliense számára. Ez lehetővé teszi a NetworkManager számára a dhclient elérését és kezelését.
További információ: http://www.freedesktop.org/wiki/Software/dbus
Ez a démon lehetővé teszi az egér használatát konzolos (szövegalapú) alkalmazásokban, mint pl fájl kezelő Éjfél parancsnoka. Ez hasznos lehet, ha gyakran használja a konzolt; egyébként, ha folyamatosan az X Window System-en dolgozol, akkor lehet, hogy soha nem lesz szükséged a gpmd-re.
Nem, ez nem a gonosz számítógép 2001-ből: A Space Odyssey. Ebben az összefüggésben a HAL a „hardver absztrakciós réteg” rövidítése – „hardver absztrakciós réteg”. A HAL démon (a kernel és maguk az eszközök segítségével) információkat gyűjt a hardvereszközökről, és konzisztens módon továbbítja az alkalmazások számára.
Ne tiltsa le ezt a szolgáltatást. Sok alkalmazás használja.
További információ: „Asztali és hardverkonfiguráció”, David Zeuthen
Ez a démon támogatja a HP Linux Imaging and Printing (HPLIP) rendszert, amelyet a HP tintasugaras és lézeres termékek nyomtatására, szkennelésére és faxolására használnak. A HPLIP együttműködik a CUPS-szal, lehetővé téve az utóbbi számára, hogy hozzáférjen a HP eszközeihez.
További információ:
Ez egy relációs adatbázis-démon Java nyelven. Nevét a Hypersonic SQL projekttől örökölte, amelyet már nem karbantartanak. A hsqldb-t széles körben használják a projektekben nyílt forráskód, mint például az OpenOffice.org, valamint a demóprogramokban, mivel teljes egészében végrehajtható véletlen hozzáférésű memória. Ennek köszönhetően gyorsan működik. El kell indítania ezt a szolgáltatást? Csak akkor, ha olyan programot futtat, amely ezt használja. De általában nagyon hasznos eszközés ha nem ismerné, érdemes megnézni.
További információ: http://hsqldb.org , http://dba.openoffice.org
Apache webszerver. Az összes webhely közel 60%-a használja. Ha szeretne fenntartani egy webhelyet, futtassa az Apache-ot. Van még mit mondani?
További információ: http://httpd.apache.org
ip6tables és iptables
Ezek tűzfalak vagy tűzfalak. A Wikipédia szerint "A tűzfal vagy tűzfal (jar. firewall vagy firewall az angol tűzfalból) olyan hardver és/vagy szoftver halmaza, amely vezérli és szűri az áthaladást. hálózati csomagok az OSI modell különböző szintjein az adott szabályoknak megfelelően. A tűzfal fő célja a védelem számítógépes hálózatok vagy az egyes csomópontok jogosulatlan hozzáférésétől."
Az Iptables úgy működik, hogy IPv4 csomagszűrési szabályokat ad meg kerneltábla formájában. A bejövő és kimenő csomagokat ellenőrzik ezeknek a szabályoknak, és azokat, amelyek nem felelnek meg a szabályoknak, blokkolják. Az Ip6tables ugyanezt teszi az IPv6-csomagoknál.
A két szolgáltatás közül melyiket érdemes elindítani? Mindkét. Mindig. A web veszélyes dolog!
További információ: http://www.netfilter.org , http://www.ipv6.org
Az IrDA (Infrared Data Association) az ipari szabvány vezeték nélküli kommunikáció eszközök között infravörös kapcsolaton keresztül. A legtöbb laptop infravörös jeladóval van felszerelve, amely megfelel az IrDA szabványnak. Ezt a szolgáltatást csak akkor kell elindítania, ha infravörös kapcsolaton keresztül kívánja megszervezni a kommunikációt más eszközökkel.
További információ:
irqbalance
Ez a démon a hardveres megszakítások elosztásával foglalkozik a többprocesszoros SMP (szimmetrikus processzoros) architektúrák CPU-i között a teljesítmény javítása érdekében.
Egyprocesszoros rendszereken ezt a démont nem kell elindítani, hatása csak a többprocesszoros rendszereket érinti.
További információ: http://www.irqbalance.org
Ez egy nagyon hasznos démon. Indításkor fut, és ellenőrzi, hogy milyen hardvereszközöket adtak hozzá vagy távolítottak el a rendszerből. Érdemes a kudzu-t rendszerindításkor futtatni, még akkor is, ha nem tervezi az eszközök gyakori hozzáadását vagy eltávolítását. Mert előbb-utóbb mégis olyan helyzetbe kerülsz, hogy hozzáadsz valamilyen eszközt, és elvárod, hogy a rendszer észlelje. Ezenkívül, mivel a kudzu a rendszerindítási szakaszban működik, nem befolyásolja hátrányosan a rendszer teljesítményét.
További információ: http://fedora.redhat.com/projects/additional-projects/kudzu
Ez a démon a Lan Information Server-ről kapta a nevét. A Lisa az MS-Windows "My Network Neighborhood" szolgáltatásához hasonló funkcionalitást biztosít, azaz hozzáférést biztosít a helyi hálózat szervereihez, beleértve a CIFS (Common Internet File Systems) kiszolgálókat is. A lisa TCP/IP protokollokon keresztül dolgozik, ICMP kéréseket küld a konfigurációs fájlban megadott tartományban lévő IP-címekre, és várja, hogy mely számítógépek válaszoljanak.
További információ: http://docs.kde.org/stable/en/kdenetwork/lisa, http://docs.kde.org/userguide/networking-with-windows.html.
lm_sensors
Ez a démon biztosítja a hőmérséklet és a feszültség figyelését alaplap. A felügyeleti rendszer működéséhez megfelelő érzékelőkkel kell rendelkezni a berendezésben. Ennek a démonnak csak akkor van értelme, ha hardveres támogatás biztosított. Valószínűleg nem kellene normál munkaállomásokon futtatnia. Inkább a kritikus funkciókat ellátó hi-end szervereken van rá szükség.
További információ: http://www.lm-sensors.org , http://freshmeat.net/projects/lm_sensors
mcstrans
SELinux Context Translation System Daemon. Ez a démon a biztonsági környezeti információkat ember által olvasható formává alakítja. Leállíthatja ezt a démont, de ebben az esetben látni fogja, hogy az ls -Z parancs által adott SELinux információ megváltozik. Például, ha a démon fut, a következőket fogja látni:
Ls -Z -rw-r--r-- jsmith jsmith user_u:object_r:user_home_t bookmarks.html drwxr-xr-x jsmith jsmith user_u:object_r:user_home_t hello -r--r--r-- jsmith jsmith user_ :user_home_t hello.c
És ha a démon leáll, a következőket fogja látni:
Ls -Z -rw-r--r-- jsmith jsmith user_u:object_r:user_home_t:s0 bookmarks.html drwxr-xr-x jsmith jsmith user_u:object_r:user_home_t:s0 Desktop -r-xr-xr-x jsmith user :object_r:user_home_t:s0 hello -r--r--r-- jsmith jsmith user_u:object_r:user_home_t:s0 hello.c
Vegye figyelembe, hogy ha a démon leáll, az "s0" biztonsági kontextusérték jelenik meg. Mctrans be ez az esetállítsa vissza a kontextust. Az egyéb biztonsági kontextusértékek alfanumerikus értékekről nevükre konvertálódnak.
További információ: http://fedoraproject.org/wiki/SELinux/Understanding , http://danwalsh.livejournal.com
mdmonitor és mdmpd
Ezt a két démont RAID-tömbökkel (olcsó/független lemezek redundáns tömbje) tartalmazó tárolórendszerekben használják. Az Mdmonitor elindítja, leállítja és újraindítja az mdadm-et (többutas eszközfigyelés és -felügyelet), egy RAID-figyelő és felügyeleti szoftverszolgáltatást. Csak akkor kell elindítania ezt a szolgáltatást, ha RAID-eszközei vannak a rendszeren.
További információ: http://www.linuxdevcenter.com/pub/a/linux/...12/05/RAID.html
üzenetbusz
Ez a D-BUS rendszerüzenet busz démon. Rendszereseményeket és eseményeket sugároz, például a nyomtatási sor változásait, vagy hozzáadott vagy eltávolított eszközöket (megjegyzendő, hogy ez nem ugyanaz, mint a kudzu, mivel az ilyen események a rendszer működése során bármikor megtörténhetnek, nem csak a betöltés során) .
További információ: http://www.freedesktop.org/software/dbus
netplugd és ifplugd
Ezek a démonok konfigurálják az Ethernet-eszközöket a kapcsolat létrejöttekor. hálózati kábel, és kapcsolja ki ezeket az eszközöket, ha a kábel ki van húzva. Mikor van rá szüksége? Például laptopokon, így a hálózati kapcsolatok csak akkor állnak helyre, ha a hálózati kábel csatlakoztatva van.
Vegye figyelembe, hogy a netplugd elavult, és most az ifplugd váltja fel.
További információ: http://0pointer.de/lennart/projects/ifplugd
NetworkManager és NetworkManagerDispatcher
A NetworkManager démon automatizálja a váltást hálózati kapcsolatok. Ez a démon hasznos azoknak a laptopfelhasználóknak, akik vezeték nélküli WiFi és Ethernet kapcsolatok között váltanak. A NetworkManagerDispatcher démon automatikusan futtatja a parancsfájlokat a szükséges műveletek végrehajtásához (például parancsfájlokat meghatározott csomagok útválasztási irányainak beállításához), amikor a NetworkManager megváltoztatja a hálózati állapotot.
További információ: http://www.gnome.org/projects/NetworkManager
Ez egy démon, amely tartománynév-kiszolgálóként működik. Csak akkor futtassa, ha a számítógépe a hálózat DNS-kiszolgálója.
További információ: http://www.dns.net/dnsrd
Az nfsd démon fenntartja az nfs hálózati kommunikációs protokollt, amely hozzáférést biztosít hálózati erőforrások TCP/IP hálózatokban. Akkor kell futtatnia, ha más felhasználóknak hozzáférést biztosít a fájlrendszerekhez az nfs protokoll használatával.
További információ:
Ez a névszolgáltatás gyorsítótárazó démonja. Csoportokat és jelszavakat tart fenn programok futtatása, majd visszaadja a megjegyzett eredményt az egyébként túl lassú szolgáltatások, például a NIS vagy az LDAP következő kérésekor. Ha futnak ezek a szolgáltatások, akkor futtasd az nscd-t is.
Ez a démon, amely fenntartja a protokollt hálózati szolgáltatás idő (Network Time Protocol). Beállítja a rendszeridőt, és szinkronizálja az időreferenciákat fenntartó internetes szerverek által beállított idővel. Ha a rendszered csatlakozik az internethez (ugye?), akkor ez a démon biztosítja, hogy a számítógépen a rendszeridő helyesen legyen beállítva.
További információ: http://www.ntp.org
Az oddjobd démon a com.redhat.oddjob szolgáltatást futtatja rendszerbusz. Az oddjobd minden egyes funkciója külön D-Bus módszerként érhető el. Az Oddjobd kiemelt működési támogatást biztosít a nem privilegizált alkalmazásokhoz.
Csak akkor futtassa ezt a démont, ha olyan alkalmazásokat futtat, amelyek ezt igénylik, például a Conga.
További információ: http://people.redhat.com/nalin/oddjob/oddjob.html.
Ez a démon támogatja a virtuális magánhálózatokat (virtuális magánhálózatok, VPN-ek). A démon indító szkriptje ezt mondja:
Az OpenVPN egy biztonságos és rendkívül rugalmas alagútkezelő alkalmazás, amely az OpenSSL-könyvtár titkosítási, hitelesítési és tanúsítási képességeit használja, hogy biztonságos alagutat biztosítson egy IP-hálózaton egyetlen UDP-porton keresztül.
Ha a rendszer VPN-gazdagép, akkor valószínűleg az OpenVPN-t kell futtatnia.
További információ: http://openvpn.net
A pcscd (PC/SC Smart Card Daemon) egy démon a pcsc-lite (okoskártya hozzáférési szoftver) és (java alapú) MuscleCard fejlesztői környezethez. Kommunikációt biztosít az intelligenskártya-olvasókkal és magukkal az intelligens kártyákkal.
(Az intelligens kártya egy kis kártya, amelybe vagy egy memóriamodul van beépítve, vagy egy mikroprocesszor memóriamodullal. A Muscle pedig a Movement for the Use of Smart Cards in a Linux Environment (az intelligens kártyák használatának mozgalma a Linux környezetben) rövidítése. Linux környezet).
További információ: http://www.smartcardalliance.org , http://pcsclite.alioth.debian.org , http://www.linuxnet.com/musclecard/index.html
A portmapper démon kezeli a távoli eljáráshívás (RPC) kapcsolatokat. távoli hívás eljárások). Az RPC programszámokat TCP/IP (vagy UDP/IP) protokoll portszámaivá alakítja. A Portmappert leggyakrabban az NFS- és NIS-szolgáltatások használják.
Tehát ha a rendszer NIS-től vagy NFS-től függ, ne tiltsa le a portmap démont.
További információ: http://www.linux-nis.org/nis-howto/HOWTO/portmapper.html
Ez egy postai transzfer (szállítási) ügynök. Ha a rendszere nem e-mail továbbító, akkor nem kell elindítania ezt a szolgáltatást.
További információ: http://www.postfix.org
Ez a démon (az útválasztó felfedező démonja) útvonalakat talál a helyi alhálózaton. A rendszer indításkor fut, hogy az útválasztási táblákat alapértelmezett útvonalakkal töltse fel.
További információ: http://www.informit.com/articles/article.asp?p=23951&rl=1
helyreállít
Ez a SELinux démonja. A Restorecond nyomon követi a fájlok létrehozását (az /etc/selinux/restorecond.conf fájlban felsorolt fájlok esetében), és biztosítja, hogy a fájlok a beállított házirendnek (házirendnek) megfelelően a megfelelő fájlkörnyezetet tartalmazzák, és meghatározza az alapértelmezett SELinux fájlkörnyezetet.
Ne tiltsa le ezt a szolgáltatást. SELinuxhoz szükséges.
További információ: http://fedoraproject.org/wiki/SELinux/Understanding , http://danwalsh.livejournal.com/
Ez a démon rendszeresen ellenőrzi, hogy milyen műveleteket kell végrehajtani a Red Hat Network webes felületén keresztül, és elindítja azokat. Ezek a műveletek magukban foglalják a telepítést, eltávolítást vagy frissítést szoftver, a rendszer újraindítása, a konfigurációs fájlok telepítése és így tovább.
További információ: https://www.redhat.com/rhn/
rpcgssd, rpcidmapd és rpcsvcgssd
Az rpcgssd és rpcsvcgssd démonok biztonságot nyújtanak az RPC-n keresztüli munka során. Az Rpcidmapd a felhasználóneveket UID- és GID-számokká konvertálja.
Ha NFS-t vagy NIS-t használ, ezeknek a démonoknak futniuk kell.
További információ:
readahead_early és readahead_later
A Readahead démon biztosítja, hogy a rendszerindításkor használt programok a használat előtt betöltődnek a memóriába, ami csökkenti a rendszerindítási időt.
saslauthd
Ez a SASL hitelesítési kiszolgáló démonja. A SASL (Simple Authentication and Security Layer) hitelesítési képességekkel bővíti a távoli kapcsolatokon alapuló protokollokat.
További információ: http://asg.web.cmu.edu/sasl
levél küldés
Ez egy SMTP (Simple Mail Transfer Protocol) szerver. A Sendmail a leveleket egyik rendszerből a másikba továbbítja, vagyis egy levéltovábbítási ügynök (Mail Transport Agent). Ha ezeket használod email programok mint a Thunderbird vagy az Evolution, nincs szükség a sendmail futtatására.
További információ: http://www.sendmail.org
hibaelhárítás
Ez a SELinux problémamegoldó démon. A Setroubleshooter a SELinux egyik nagyszerű újdonsága. A hibaelhárító valós idejű felhasználói visszajelzést ad a SELInux AVC (Access Vector Cache) hibáiról. És ez Visszacsatolás kényelmes formátumban biztosítjuk.
További információ: https://hosted.fedoraproject.org/projects/setroubleshoot
Ez a démon figyeli a SMART (önfelügyeleti, elemzési és jelentéskészítési technológia) érzékelőket, amelyek sokféle meghajtóban, például SCSI-3 merevlemezeken találhatók. A démon felügyeli az ilyen eszközök normál működését, és önteszteket hajt végre. Ha a hardver támogatja a SMART technológiát, akkor ezt a szolgáltatást kell futtatnia.
További információ:
spamassassin
Ez a démon az Apache SpamAssassin programot használja a levélszemét ellenőrzésére. Általában egy mail kézbesítési ügynök (MDA) szerverrel együtt fut. Ha olyan kliensprogramokat használ, mint a Thunderbird vagy az Evolution a levelei eléréséhez, akkor nem kell futtatnia a spamassassint.
További információ: http://spamassassin.apache.org
Ez a nyílt ssh protokoll démonja. Az Ssh felváltja a nem biztonságos rsh és rlogin programokat, és titkosított kommunikációt biztosít a nem biztonságos hálózatokon lévő gazdagépek között. Ha nyílt interneten keresztül más rendszerekhez csatlakozik, akkor az ssh-t kell használnia, és futtassa ezt a démont.
További információ: http://www.ssh.com, http://www.openssh.com
A syslog a Linux szabványos naplózási rendszere. Ne kapcsolja ki.
További információ: http://www.syslog.org
Ez a démon a Samba csomag része. Lehetővé teszi a Windows tartomány felhasználóinak, hogy Unix-felhasználóként csatlakozzanak Unix-kiszolgálókhoz. Futtassa ezt a démont, ha Windows és Linux/Unix számítógépek vegyes hálózatával foglalkozik.
További információ: http://www.samba.org/samba/docs/man/Samba-...on/winbind.html , http://www.samba.org
Ez egy font szerver. Ez a démon betűtípusokat tölt be a memóriába annak érdekében grafikai alkalmazások gyorsabban működött, mintha rákényszerültek volna a betűtípusok letöltésére merevlemez. Ennek a szolgáltatásnak futnia kell a rendszeren lévő alkalmazások teljesítményének javítása érdekében.
További információ: http://linuxreviews.org/howtos/xfree/xfs
Ez a szolgáltatás egy NIS-ügyfelet egy NIS-tartományhoz társít. Az "yp" a nevében a "sárga oldalakból" származik, mivel a NIS-könyvtárak olyanok, mint a "sárga oldalak" telefonkönyvek. Csak akkor kell elindítania ezt a szolgáltatást, ha a rendszer NIS-t (Network Information Service) használ a felhasználói költségvetések és rendszernevek eléréséhez.
További információ: http://www.linux-nis.org
yum-updatesd
A yum-updatesd nyomon követi a szoftverfrissítéseket, és értesítéseket küld ezekről a címekre email, d-bus vagy rendszerüzenetként, és előállíthat is automatikus frissítésÁLTAL. A D-bus üzeneteket a "puplet" (csomagfrissítő) segédprogram fogadja, amely tájékoztatja a felhasználót, hogy elérhető frissítés, és lehetővé teszi a frissítés telepítését.
További információ: http://linux.duke.edu/projects/yum, http://www.redhat.com/magazine/024oct06/features/fc62
Köszönöm ZOOL a http://www.centrlan.ru/node/17929 oldalon található információkért
A forrás nincs megadva
A syslogd démon (rendszernaplózás-deamon) a legtöbb program által támogatott naplózási formát biztosít. A syslogd démon üzeneteket ír a /var/log/syslog fájlba. A fájl bejegyzései általában a következő mezőket tartalmazzák: dátum és idő, gazdagép, program, üzenet. Az alábbiakban látható egy példa erre a fájlra:
január 27. 17:09:35 dhsilabs modprobe: modprobe: Nem található a hang-szolgáltatás-1-0 modul
január 27. 17:09:35 dhsilabs modprobe: modprobe: Nem található hang-slot-1 modul
Január 27. 17:12:28 dhsilabs kernel: VFS: Lemezcsere észlelve az ide1(22,64) eszközön
január 27. 17:12:31 dhsilabs kernel: ISO 9660 Bővítmények: Microsoft Joliet 1. szint
január 27. 17:12:31 dhsilabs kernel: ISOFS: váltás másodlagos gyökérre
január 27. 17:12:32 dhsilabs kernel: VFS: Lemezcsere észlelve az fd(2,0) eszközön
január 27. 17:12:32 dhsilabs kernel: end_request: I/O hiba, dev 02:00 (hajlékonylemez), 0. szektor
Az utolsó előtti bejegyzésből például megtudhatjuk, hogy 2002. január 27-én 17:12-kor adathordozó váltás történt az fd eszközben, amit a rendszermag szeretettel jelezt felénk (a „program” bejegyzés kernel). És a média (floppy) sérültnek bizonyult, amint azt a következő bejegyzés bizonyítja - I / O hiba (I / O hiba, dev 02:00 (floppy), 0. szektor).
A syslogd démon automatikusan elindul a rendszer indításakor. Az /etc/rc.d/init.d/syslog parancsfájl futtatására készült. Szokás szerint a démont saját maga is elindíthatja a /etc/rc.d/init.d/syslog start paranccsal, majd leállíthatja - /etc/rc.d/init.d/syslog stop. Szolgáltatni automatikus letöltés létre kell hoznia egy szimbolikus hivatkozást ehhez a fájlhoz, például:
ls -s /etc/re.d/rc5.d/@S30syslog /etc/rc.d/init.d/syslog.
Ebben az esetben gondoskodni fog arról, hogy a démon az ötödik futási szinten induljon el (X Window automatikus indítás). Ha Linux Mandrake-et használ, a drakxservices paranccsal engedélyezheti vagy letilthatja az automatikus indítást. Nál nél Linux használatával A Red Hat engedélyezze a démon automatikus indítását a telepítőkonfigurátor segítségével. A syslogd démon az 1. táblázatban felsorolt opciókkal indítható el. 5.7.
táblázatban. Az 5.7 nem sorolja fel az összes démon opciót. Az összes többi beállítás jelentését a súgórendszerben a man syslogd parancs beírásával találhatja meg.
syslogd démon beállítások 5.7. táblázat
| választási lehetőség | Leírás |
|---|---|
| - egy aljzat | Ez a beállítás lehetővé teszi egy további socket megadását, amelyre a syslogd-nak figyelnie kell. |
| -d | Engedélyezi a hibakeresési módot. Ebben a módban a démon nem használja a fork(2) rendszerhívást, hogy a háttérbe kapcsolja magát, és több hibakeresési információt nyomtat. |
| -f fájl | Ez az opció egy alternatív konfigurációs fájlt határoz meg |
| -h | Alapértelmezés szerint a démon nem továbbítja a többi csomóponttól kapott üzeneteket. Ez a beállítás lehetővé teszi az üzenetek átirányítását más definiált gazdagépekre |
| -n | Erre a paraméterre akkor van szükség, ha a syslogd-t elindítja és az init program vezérli. |
| -r aljzat | Lehetővé teszi egy másik Unix socket megadását a /dev/log helyett |
| -r | Lehetővé teszi üzenetek fogadását a hálózatról. Ezt a lehetőséget a syslogd 1.3-as verziójában vezették be |
| -v | Megjeleníti a syslogd démon verzióját |
A programozási szlengben a "naplókat" munkaprotokolloknak nevezik, amelyeket a legtöbbet karbantartanak operációs rendszer, és egymástól függetlenül számos programmal. A „napló” szót gyakran a „protokoll” szó szinonimájaként használják ebben az értelemben. Két fő helyzetben válik szükségessé a protokoll elemzése: amikor valami a rendszerben nem úgy működik, ahogy vártuk (problémamegoldás), és amikor felmerül a gyanú, hogy a rendszert valamilyen behatoló feltörte, és meg kell találnunk pontosan mi történt, hogyan történt, és mit kell tenni az invázió következményeinek megszüntetése érdekében.
Az egyik leghíresebb eset, amikor naplófájlokat használnak a behatolók észlelésére, a híres hacker, Kevin Mitnick elfogásának története, amelyet Tsuomo Shimomura számítógép-biztonsági szakértő elfogott. Itt van egy bekezdés a cikkből, amely leírja, hogyan történt.
"Karácsony napján, amikor Shimomura síelni ment Nevadába nyaralni, valaki (már tudjuk, ki) betört a szuperbiztonsági kocsijába. otthoni számítógép Solana Beachen, Kaliforniában, és elkezdte másolni az aktáit – több száz titkos aktát. A San Diego-i Szuperszámítógép Központ egyik végzős hallgatója, ahol Shimomura dolgozott, változásokat észlelt a rendszernaplófájlokban, és gyorsan rájött, mi történik. Mindez azért volt lehetséges, mert Shimomura olyan programot telepített a számítógépére, amely automatikusan átmásolta a "napló" bejegyzéseket egy San Diego-i tartalék számítógépre. A diák felhívta Shimomurát, aki hazasietett, hogy leltárt készítsen az ellopott holmikról."
Nem fogom itt a teljes történetet elmondani, csak annyit fontos megjegyeznünk, hogy a lefolytatott szabálysértési vizsgálat sikerének alapjául a rendszer működési protokolljainak elemzése szolgált. Az ilyen vizsgálatok végrehajtásának részletes leírását a cikkben találja. De ahhoz, hogy a naplózás eredményeit felhasználhassuk, meg kell érteni, hogyan jönnek létre a protokollok, hol tárolódnak és mit lehet kinyerni belőlük. Jelen cikk mindezen kérdések megvitatására szolgál.
Kezdjük azzal a ténnyel, hogy a C nyelvű programok létrehozásakor a programozóknak lehetőségük van szükség esetén speciális függvények hívását beilleszteni. openlog, setlogmask, syslogÉs closelog, amely a C szabványkönyvtárban található.Ezekkel a függvényekkel üzeneteket küldhetünk bizonyos eseményekről a program végrehajtása során egy speciális rendszerdémonnak syslogd, vezeti a rendszerprotokollt. Funkció openlog kapcsolatot létesít a démonnal syslogd, funkció syslog külön üzenetet generál a protokollba és a függvénybe való íráshoz closelog nyitott kapcsolatot zár be.
A függvény által generált üzenetek syslog, több, szóközzel elválasztott mezőből áll. Minden üzenet egy mezővel kezdődik PRI, amely kódolt formában információkat tartalmaz az üzenet kategóriájáról (facility) és az üzenet súlyossági szintjéről (súlyossági szint) vagy prioritásáról (prioritása).
A kategória (létesítmény) információ arról, hogy az adott üzenet melyik osztályba tartozik. A kategória 0 és 23 közötti számként van kódolva. A következő kategóriák léteznek (a fájlban vannak meghatározva /usr/include/sys/syslog.h):
Asztal 1.
| Numerikus érték | Szimbólum | Dekódolás |
| 0 | alávágás | Kernel üzenetek |
| 1 | felhasználó | Különféle felhasználói programokból származó üzenetekhez tervezték. (felhasználói programok üzenetei) |
| 2 | levél | Üzenetek a levelezőrendszerből. |
| 3 | démon | Azoktól a rendszerdémonoktól származó üzenetek, amelyek az FTP-vel vagy az LPR-rel ellentétben nem rendelkeznek külön kategóriákkal. |
| 4 | auth | Bármi, ami a felhasználói jogosultsághoz kapcsolódik, például bejelentkezés és su (biztonság/engedélyek) |
| 5 | syslog | A naplózó rendszer képes üzeneteket naplózni önmagától. |
| 6 | lpr | Üzenetek a nyomtatórendszertől. |
| 7 | hírek | Üzenetek a hírszerverről. (Netnews, USENET) |
| 8 | uucp | Üzenetek a UNIX-UNIX másolási protokolltól. Ez a UNIX történetének része, és valószínűleg soha nem lesz rá szüksége (bár a levelek bizonyos hányadát továbbra is UUCP-n keresztül kézbesítik). |
| 9 | cron | Üzenetek a rendszerütemezőtől. |
| 10 | authpriv | Ugyanaz, mint az auth, de az ebbe a kategóriába tartozó üzenetek olyan fájlba vannak írva, amelyet csak néhány felhasználó tud elolvasni (talán ez a kategória van kiemelve, mert a hozzá tartozó üzenetek tartalmazhatják a felhasználók nyilvános jelszavait, amelyeket illetéktelenek nem láthatnak, és ezért a napló fájloknak rendelkezniük kell a megfelelő jogosultságokkal). |
| 11 | ftp | Ebben a kategóriában beállíthatja az FTP-kiszolgálót, hogy rögzítse a műveleteit. |
| 12-től 15-ig | - | Rendszerhasználatra fenntartva. |
| 16-tól 23-ig | helyi0 - helyi7 | A rendszergazda általi használatra fenntartott kategóriák. A local7 kategóriát általában a rendszerindítás során generált üzenetekhez használják. |
Kategória auth elavult név-szinonimája van Biztonság, ami nem ajánlott. Ezen kívül van egy speciális kategória Mark(nincs digitális megfelelője), amely a démon által generált egyedi üzenetekhez van hozzárendelve syslogd. Ez a kategória arra szolgál, hogy meghatározott időközönként (alapértelmezés szerint 20 percenként) speciális jelöléseket helyezzen el a naplóban, ami lehetővé teszi például, hogy 20 perces pontossággal megtudja, amikor a számítógép lefagy.
Vegye figyelembe, hogy a kategóriának semmi köze a démonnak üzeneteket küldő program nevéhez. syslogd. Ahogy mondani szokták, minden véletlen puszta véletlen. Ezenkívül egyes programok különböző kategóriájú üzeneteket generálhatnak. Például egy démon telnetd sikertelen naplózási kísérletek esetén kategóriaüzeneteket generál authpriv, és más esetekben a bejegyzéseiket a következő kategóriába sorolja be démon.
A második paraméter, amely alapján a mezőérték alakul ki PRI, az üzenet szintje vagy prioritása (prioritás), vagyis az üzenet fontossági fokára vonatkozó információ. Alapértelmezés szerint 8 fontossági szint van beállítva (ezek szintén a fájlban vannak meghatározva /usr/include/sys/syslog.h), amelyeket 0 és 7 közötti számok kódolnak:
2. táblázat.
| Numerikus érték | Szimbólum | Dekódolás |
| 0 | felbukkan(a PÁNIK régi neve) | Vészhelyzet. A rendszer működésképtelen. |
| 1 | éber | Szorongás! Azonnali beavatkozás szükséges. |
| 2 | crit | Kritikus hiba(Kritikus állapotban). |
| 3 | téved(régi név ERROR) | Hiba üzenet. |
| 4 | Figyelem(a WARN régi neve) | Figyelem. |
| 5 | értesítés | Információk valami normális, de fontos eseményről. |
| 6 | info | Közlemény. |
| 7 | hibakeresés | Hibakeresés során generált üzenetek. |
Terület PRIüzenetet a következőképpen alakítjuk ki: a kategória számértékét megszorozzuk 8-cal és hozzáadjuk a prioritás számértékéhez, a kapott számot szögletes zárójelek közé írjuk a mezőbe.
A mezőt követve PRI Az üzenet a következő mezőket tartalmazza:
Az idő (helyi!) a következő formátumban van írva: Feb 13 21:12:06. Ha a nap száma egyjegyű, akkor azt egy extra szóköz (nem 0!) előzi meg. Ügyeljen arra, hogy a dátumban ne legyen év és zóna, amit a szervezésnél figyelembe kell venni hosszú távú tárolás protokoll fájlok. Annak érdekében, hogy az üzenetben szereplő idő helyes legyen, szinkronizálni kell (például az NTP protokoll használatával).
A gazdagépnév szerepel az üzenetben, hogy ne keverjük össze a különböző gazdagépektől érkező üzeneteket, mert amint az alább látható, a naplózás a hálózat egyik dedikált számítógépén is elvégezhető. A gazdagépnév a számítógép egyszerű hálózati neve, a tartomány megadása nélkül. Ha a számítógép több interfésszel rendelkezik különböző IP-címekkel, akkor ezek bármelyike használható gazdagépnévként vagy címként.
Üzenet szövege ( MSG) általában tartalmaz egy címkét ( CÍMKE) rámutatva az üzenetet kiadó programra vagy folyamatra, valamint az üzenet törzsére ( TARTALOM). A címke tartalmazhat leveleketés számok. A címke általában egy egyszerű programnév, amelyet néha egy folyamatazonosító követ szögletes zárójelben. Az üzenet törzsét speciális karakterek választják el a címkétől – Linuxban ez általában kettőspont és szóköz.
A funkciót használó egyes programok által generált összes üzenet syslog, aljzaton keresztül küldve /dev/log rendszerdémon syslogd, amely ezen üzenetek feldolgozásáért felelős. Azt kell mondanom, hogy valójában két naplózó démon indul a rendszerben - syslogdÉs klogd. Mindkét démon benne van a csomagban syslogd, legújabb verzió amelyet a weboldalon találhat meg.
Démon klogd felelős a rendszermagban előforduló események naplózásáért. Külön démon szükségessége klogd mert a kernel nem tudja használni a szabványos függvényt syslog. A helyzet az, hogy a szabványos könyvtárak (beleértve azt a könyvtárat is, amelyben a függvény található syslog) csak normál alkalmazásokhoz használhatók. Mivel a kernelnek is szüksége van hasonló funkciókra, saját könyvtárakat tartalmaz, amelyek nem érhetők el az alkalmazások számára. Ezért a kernel saját üzenetgeneráló mechanizmusát használja. Démon klogd ezeknek az üzeneteknek a feldolgozásának megszervezésére tervezték. Elvileg az ilyen feldolgozást teljesen függetlenül és attól függetlenül végezheti el syslogd, például úgy, hogy ezeket az üzeneteket fájlba írja, de a legtöbb esetben az alapértelmezett beállítás klogd, amelyben a kernel összes üzenete ugyanahhoz a démonhoz kerül továbbításra syslogd.
Hogy megbizonyosodjon a démonokról syslogdÉs klogd fut a rendszeren, futtassa a parancsot ps -ax | grep log. Ez a parancs a következő eredményt adta:
$ ps -ax | grep log 569? S 0:00 syslogd -m 0 574 ? S 0:00 klogd -x 1013 ? S 0:00 bejelentkezés -- kos 1191 ? S 0:00 kalarmd --login Az első két sor csak azt jelzi, hogy a naplózó démonok futnak a rendszeren.Üzenetek kezelése a démon által syslogd abból áll, hogy folyamatosan figyeli az üzenetek megjelenését és minden bejövő bejegyzést összehasonlít a fájlban lévő szabályokkal. /etc/syslog.conf. Minden szabály egy sorként van írva a fájlban /etc/syslog.conf, amely két mezőből áll. A bal oldali mező ("választó") egy vagy több sablont ad meg, amelyek alapján az üzenetek kiválasztásra kerülnek. A sablonokat pontosvessző választja el (lásd az alábbi példafájlt /etc/syslog.conf). A jobb oldali mező ("művelet") határozza meg a kiválasztott üzenetek feldolgozási sorrendjét. A mezőket egy vagy több szóköz vagy tabulátor választja el.
A "selector" mezőben minden minta "category.level" (vagyis "facility.priority") formátumú. A "kategória" mező értékei a következők lehetnek:
A "szint" mező értékei a következők lehetnek:
Egy adott érték megadása a "szint" mezőben úgy értelmeződik, mint "ennek a szintnek és magasabbnak az összes értéke". Ha csak egy szintű üzenetet kell rögzítenie, akkor egyenlőségjelet ("=") kell tennie a beállítandó érték elé. Ha a megadott kivételével minden szintű üzenetet rögzíteni kell, akkor a szint neve elé kerül Felkiáltójel("!"). Ennek a két jelnek egyidejű elhelyezése úgy értelmezhető, hogy "ne rögzítsen a megadott és magasabb szintű üzeneteket".
A „választó” mezőben a nagy- és kisbetűket nem különböztetjük meg. Használhat számokat is (lásd: /usr/include/syslog.h). Az 1. táblázatban felsorolt kategóriákon kívül megadhatja Mark(szokásos időbélyegek) és Biztonság(elavult szinonimája a auth). A 2. táblázatban felsorolt prioritási értékeken kívül használhatja figyelmeztet(szinonimája a Figyelem), hiba(szinonimája a téved), pánik(szinonimája a felbukkan).
Ha a fogadott üzenet kategóriája és szintje megegyezik egy sor egyik „választó” mezőmintájával, syslogd feldolgozza a rekordot a sor "művelet" mezőjében megadott műveletnek megfelelően.
Az "akció" mező tartalmazhat
Leggyakrabban az "action" mező továbbra is tartalmazza a naplófájl nevét. Ezenkívül a fájlnév elé mínuszjelet ("-") tehet, ami azt jelenti, hogy a rendszer tárolhatja a fájlt a gyorsítótár pufferében, és nem üríti ki minden egyes üzenet lemezre írása után. Ez természetesen felgyorsítja a munkát, főleg ha sok nagy üzenet kerül a naplóba, de egy váratlan rendszerösszeomlás esetén, vagyis pontosan akkor, amikor az ilyen üzenetekre különösen nagy szükség van, bizonyos üzenetek elvesztéséhez vezethet. A nyomtatót eszközként is megadhatja az "action" mezőben - /dev/lp0. Azokban az esetekben célszerű az "akció" ilyen változatát alkalmazni, amikor különösen fontos rendszerekről van szó. A kinyomtatott protokollokat a hackerek nem tudják törölni vagy megváltoztatni, ezért ez jó haszna egy régi mátrixnyomtatónak.
A fájl szabályait tartalmazó sorok mellett /etc/syslog.conf tartalmazhatnak üres sorokat és #-vel kezdődő megjegyzéssorokat. További információ a fájlszerkezetről /etc/syslog.conf a syslog.conf kézikönyvoldalon olvashat néhány példát a fájl szabálybejegyzésére. Vegye figyelembe, hogy a "category.level" párok megadásakor a fájlban syslog.conf nem használhatja az 1. és 2. táblázatban megadott számértékeket, csak azok feltételes elnevezése megengedett.
Ha egy üzenet egyezik két vagy több sor mintájával, akkor az e szabályok mindegyikének megfelelően kerül feldolgozásra (azaz az üzenet feldolgozása nem áll le az első sikernél). Ez azt jelenti, hogy egyetlen üzeneten tetszőleges számú művelet hajtható végre. Ezért írhat üzenetet egy naplófájlba, és elküldheti a felhasználó(k)nak vagy egy távoli gazdagépnek.
Ezen túlmenően, ha több "category.level" pár szerepel (pontosvesszővel elválasztva) a "selector" mezőben, akkor a következő párok megszüntethetik az előzőek hatását. Az alábbi fájllistában láthat egy példát egy ilyen törlésre. /etc/syslog.conf: a /var/log/messages fájlba naplózza az összes infónál vagy a feletti üzenetet, de kihagyja (nem naplózza) a leveleket, az authpriv és a cron üzeneteket.
| Felsorolás 1. Fájl /etc/syslog.conf Red Hat Linux 7.1 disztribúcióra épülő rendszerből (csak az ebben a fájlban található megjegyzéseket fordítottam le oroszra, a szabályokat pedig félkövérrel emeltem ki). |
| # Nyomtasson minden üzenetet a rendszermagból a konzolba. #kern.* /dev/console# Naplózza az összes információs vagy magasabb szintű üzenetet, # kivéve a levelezőrendszertől származó, érzékeny információkat tartalmazó üzeneteket, # a hitelesítési üzeneteket és a cron démontól érkező üzeneteket. *.info;mail.none;authpriv.none;cron.none /var/log/messages# Írj neki külön fájl bizalmas hitelesítési információkat tartalmazó üzenetek # szinttől függetlenül. authpriv.* /var/log/secure# A levelezőrendszer összes üzenete külön is rögzítésre kerül. mail.* /var/log/maillog# Naplózza a cron démon műveleteit. cron.* /var/log/cron# A vészhelyzeti üzeneteket azonnal # meg kell kapnia a rendszer minden felhasználójának *.emerg*# A kritikus és magasabb szintű hírszolgáltatások üzenetei külön fájlba íródnak. uucp,news.crit /var/log/spooler# A rendszerindítási fázis során kiadott üzenetek a boot.log fájlba másolva local7.* /var/log/boot.log |
Természetesen itt lehetetlen megmondani a fájl egyes sorainak tartalmát. Annak érdekében, hogy az olvasó képet kapjon arról, milyen információk találhatók a protokollban, külön sorokat-üzeneteket adunk, nagyon rövid megjegyzésekkel.
A naplófájl minden sora egyetlen üzenetbejegyzést tartalmaz, amely a következő üzenetmezőket tartalmazza, szóközzel elválasztva:
Először is érdemes megjegyezni, hogy ha a számítógép nem a hét minden napján, 24 órában működik, de éjszaka ki van kapcsolva, akkor ez a fájl tartalmazhat több „munkaciklus” bejegyzéseket, amelyek a számítógép indításával kezdődnek, és a számítógép leállásával végződnek. . Egy ilyen ciklus a naplózó démonok elindításával kapcsolatos üzenettel kezdődik (ez érthető, az indítás előtt nem rögzítettek üzenetet):
Sep 17 08:32:56 kos3 syslogd 1.4-0: újraindítás. Sep 17 08:32:56 kos3 syslog: syslogd elindítva sikerült Sep 17 08:32:56 kos3 kernel: klogd 1.4-0, naplóforrás = /proc/kmsg indulva. Sep 17 08:32:56 kos3 kernel: /boot/System.map-2.4.2-2 vizsgálata Sep 17 08:32:56 kos3 syslog: a klogd indítása sikerült
Körülbelül ugyanaz a struktúra tartalmaz bejegyzéseket a fájlban említett más protokollfájlokban is /etc/syslog.conf.
Az előző leírásból arra a következtetésre juthatunk, hogy a rendszernaplókhoz tartozó összes üzenet kiadását a programozónak kell rögzítenie a program létrehozásának szakaszában. Ez nem teljesen igaz. A felhasználónak lehetősége van arra is, hogy üzenetet küldjön a démonnak syslogd. Ehhez a Linuxnak van egy parancsa favágó, amely üzenet küldését biztosítja a parancssorból (sh, bash stb.). Az util-linux csomag része. Természetesen ez a parancs elsősorban naplózási lehetőségeket biztosít, amikor a felhasználó különféle típusú shell szkripteket hoz létre. De futtatható közvetlenül a parancssorból is, például a naplózó rendszer lehetőségeinek megismerésére. Parancs futtatási formátuma: naplózó [-isd] [-f fájl] [-p PRI] [-t TAG] [-u socket] A parancssori opciók jelentése a következő:
Több üzenet küldése a program segítségével favágóés csodálja meg az eredményt a fájlban /var/log/messages(kivéve persze, ha megváltoztatta az alapértelmezett értéket).
Egyébként van egy nagyon érdekes mód a fájlba írt üzenetek megtekintéséhez /var/log/messages csapat favágó. Ez a módszer a felhasználáson alapul speciális program farka. Nyisson meg egy terminálablakot, szerezzen szuperfelhasználói jogokat (a paranccsal su), és futtassa a parancsot ebben az ablakban
tailf /var/log/messages
Ezt követően váltson át egy másik terminálra, és futtassa ott a parancsot logger custom_text. Üzenete azonnal megjelenik abban az ablakban, ahol a program fut. farka. Vagyis ennek a programnak a segítségével a rendszergazda valós időben figyelemmel kísérheti az új üzenetek rögzítését a protokollban. Igaz, a rendszergazdának nem valószínű, hogy lesz ideje ily módon figyelni a rendszer viselkedését (kivéve vészhelyzeteket). Ezért speciális programokat fejlesztettek ki a protokollok elemzésére. De róluk egy kicsit lejjebb, de most térjünk át arra a kérdésre, hogyan lehet megszervezni egy távoli számítógép felügyeletét (emlékszel, hogyan fogtad el a támadót Shimomura?).
Mint említettük, a naplózó rendszerüzeneteket a démon küldheti syslogd távoli gazdagéphez. De valakinek oda kell vinnie. Kiderül, hogy ez ugyanaz a démon syslogd fut ezen a távoli gazdagépen. Pontosabban, syslogd bármely számítógépen nem csak a /dev/log socketen tud hallgatni (így fogadja el a helyi forrásból érkező üzeneteket), hanem az 514/UDP porton is, ami biztosítja, hogy a helyi hálózaton lévő többi számítógépről üzenetek érkezzenek (majd kiírják helyi fájlba). Ez lehetővé teszi egy "naplózószerver" létrehozását, amely nagyon kényelmes lehet a rendszergazda számára (a hálózaton lévő összes eseményt egy helyen követi), valamint növeli a hálózat biztonságát, mivel a hacker behatolása a hálózat egyikébe. a gazdagépeket ez a hacker nem tudja azonnal eltávolítani a protokollból.
Az ilyen "hálózati naplózás" megszervezéséhez azonban további erőfeszítéseket kell tenni.
Először is, mivel az 514/UDP portot használják üzenetek fogadására és küldésére a hálózaton, ennek mindkét számítógépen (kliensen és szerveren) elérhetőnek kell lennie. Ehhez a fájlban /etc/services mindkét számítógépnek rendelkeznie kell a vonallal
syslog 514/udp
Ha egy ilyen vonal az /etc/services hiányzó, syslogd nem tud üzeneteket fogadni és elküldeni a hálózatra, mert nem tud megnyitni egy UDP portot. Ha ilyen helyzet áll elő, syslogd azonnal leállítja az üzenetek írását még a helyi naplóba is. Amint azonban a parancs mutatja ps, a memóriában marad, sőt néhány pufferben is tárolja az üzeneteket, mert ha a karakterlánc " syslog 514/udp" visszaállítás fájlba /etc/services a kliensen, akkor a "hiányzó" üzenetek legalább egy része továbbra is megjelenik a naplóban (újraindítás után syslogd).
Másodszor, a démon indításakor syslogd az opciót meg kell adni a szerveren -r, amely távoli naplózási lehetőségeket biztosít (alapértelmezés szerint a démon syslogd csak a helyi aljzatból vár üzenetet). Hogy hogyan és hol állítsuk be ezt a beállítást, az alább, a démon indításáról szóló részben lesz szó. syslogd.
Nos, és harmadszor, a fájlok beállításait ennek megfelelően kell javítani. /etc/syslog.conf mindkét számítógépen. Például, ha az összes üzenetet át akarja irányítani a naplózószerverre, akkor be kell írnia az ügyfélszámítógépen lévő fájlba. /etc/syslog.conf egy ilyen sort:
*.*@gazdanév
Ha a démon indítása során syslogd a szerver nem lesz elérhető (például jelenleg offline állapotban van), vagy nem lehet név szerint megtalálni (a DNS szolgáltatás nem működött megfelelően) syslogd további 10 kísérletet tesz a szerver megtalálására, és csak akkor, ha ezután nem sikerült megtalálni a szervert, abbahagyja a próbálkozást és megfelelő üzenetet küld.
Ha több tartománya van a hálózaton, amelyeket ugyanaz a naplózószerver szolgál ki, ne lepődjön meg, ha teljes ügyfélneveket lát (beleértve a tartományt is) a szerver naplózásában. Valóban, indításkor syslogd opciók használhatók -s domain_list vagy -l hostlist, amelyek biztosítják a protokollban szereplő teljes gazdagépnevek rövid nevükkel való helyettesítését (a tartomány megadása nélkül).
Ne felejtse el az indítási beállítások és a fájl beállítása után /etc/syslog.conf indítsa újra a démont, mert ellentétben cron, syslogd nem olvassa be automatikusan újra a konfigurációs fájlokat.
Indítási paraméterek syslogd:
A démon elindítása után syslogdállapotfájl jön létre /var/lock/subsys/syslog nulla hosszúságú, és egy fájl folyamatazonosítóval /var/run/syslogd.pid.
A paranccsal
kill -SIGNAL `cat /var/run/syslogd.pid`
küldhetsz a démonnak syslogd az alábbi jelek egyike:
Démon klogd legalább annyi indítási lehetőséggel rendelkezik, mint syslogd itt azonban nem adjuk meg, hanem a megfelelő man oldalra irányítjuk az olvasót (a felhasználó ne állítsa be klogd, jobb abban az állapotban hagyni, ahogy azt a disztribúció fejlesztői előállították).
Először is meg kell említeni, hogy a Linuxnak van egy ilyen nevű parancsa. Ha összehasonlítjuk ennek a parancsnak a kimenetét (amikor paraméterek nélkül fut) a fájl tartalmával /var/log/dmesg, látni fogja, hogy nagyon hasonlóak, bár nem azonosak (irányítsa a parancs kimenetét egy fájlra dmesg2és hasonlítsa össze a fájlokat dmesgÉs dmesg2). Pontosabban a fájl /var/log/dmesg egy az egyhez egybeesik a parancsra kapott kimenet kezdetével dmesg. Ahogy a -ból következik, a kernelnek van egy gyűrűs puffere, amelybe a kernelnaplózó démon üzenetei kerülnek. Azok az üzenetek, amelyek a letöltési folyamat során ebbe a pufferbe íródnak, és alkotják a fájl tartalmát /var/log/dmesg. Úgy tűnik, ez a fájl a rendszerindítás végén jön létre.
Ha újra megnézi a fenti fájllistát /etc/syslog.conf, látni fogja, hogy a kategória összes bejegyzése alávágás a konzolra is kiadták. De ott gyorsan átszaladnak a képernyőn, és alig van időd elolvasni és megérteni őket. De ezek egy fájlba vannak mentve /var/log/dmesgés így szabadon elmélkedhet (ha a letöltési folyamat sikeresen befejeződött). A rendszerindítási folyamat befejezése után folytatódik az üzenetek írása a kernelből a gyűrűpufferbe. Amikor a parancs végrehajtódik dmesg, a puffer aktuális állapota kerül visszaadásra. Ezért ennek a parancsnak a kimenete több üzenetet tartalmaz, mint a fájl /var/log/dmesg: ennek a parancsnak a kimenetében láthatjuk azokat az üzeneteket is, amelyeket a rendszermag a rendszerindítási folyamat befejezése után ad ki.
Minden üzenet a következőtől /var/log/dmesg fájlban találod /var/log/messages, csak ott váltakoznak más programok üzeneteivel. Csak egy lényeges különbség van: a fájlban dmesg az üzenet ideje és forrása (gazdanév és üzenetkategória) nincs megadva. A gazdagép itt mindig „helyi”, és a visszaszámlálás kezdetét a számítógép utolsó újraindítása határozza meg.
Kivéve a fájlt dmesg a katalógusban /var/log/ van még két fájl, ami nem szerepel benne /etc/syslog.conf, de közvetlenül kapcsolódik a naplózáshoz – ezek fájlok lastlogÉs wtmp. De nézze meg őket ugyanúgy, ahogy a fájlt néztük /var/log/messages nincs értelme - nem fogsz érteni semmit. A tény az, hogy az ezekben a fájlokban lévő információkat speciális formátumban rögzítik, és speciális szoftvereszközökkel kell megtekinteni. De először néhány szót kell ejtenünk e fájlok céljáról.
Fájl lastlog információkat tárol a felhasználó legutóbbi rendszerbe való bejelentkezéséről. Nem tudom, észrevetted-e, hogy a felhasználónév és a jelszó megadásakor egy ehhez hasonló üzenet jelenik meg a képernyőn:
Localhost bejelentkezés: kos Jelszó: Utolsó bejelentkezés: Wed Oct 9 19:25:53 on tty1 Ezt a három sort a segédprogram generálja Belépés, amely miután megállapította, hogy a felhasználó rendelkezik bejelentkezési jogokkal, hozzáfér a fájlhoz /var/log/lastlog, onnan kinyeri a felhasználó korábbi sikeres bejelentkezési adatait, megjeleníti a képernyőn, majd frissíti a fájl bejegyzését lastlog. Ezt az üzenetet letilthatja egy üres .hushlogin fájl létrehozásával a saját könyvtárában. Ezt azonban nem ajánlatos megtenni, ellenkezőleg, érdemes különös figyelmet fordítani ennek az üzenetnek a tartalmára, nehogy elmulasszuk azokat az eseteket, amikor valaki más jelentkezett be az Ön neve alatt.
Ellentétben a fájllal /var/log/lastlog, amely időbejegyzéseket tartalmaz utolsó minden felhasználó bejelentkezési adatait a fájlban /var/log/wtmp emlékeznek Minden felhasználói be- és kijelentkezések a fájl létrehozása óta. Mint a fájlban lastlog, rögzíti /var/log/wtmp speciális formátumban készülnek, így csak speciális parancsokkal tekinthetők meg. Mielőtt azonban ezekről a parancsokról beszélnénk, tegyük fel, hogy van egy másik fájl, amely a felhasználói naplózásra vonatkozó bejegyzéseket tartalmazza – ez a fájl /var/run/utmp. Ez a fájl információkat tartalmaz arról, hogy melyik felhasználó van jelenleg bejelentkezve a rendszerbe.
Most beszélhet arról, hogyan tekintheti meg a rendszerben dolgozó vagy korábban a rendszerben dolgozó felhasználók adatait. Ennek fő parancsa a parancs utolsó. Az összes rekordot egy fájlból adja ki /var/log/wtmp, valamint a felhasználónév, annak a terminálnak a megjelölése, amelyről a felhasználó dolgozott, a felhasználó rendszerbe lépésének és a rendszerből való távozásának időpontját, valamint a felhasználó munkamenetének időtartamát a rendszerben. Ha a felhasználó munkája csak magának a rendszernek a leállása miatt szakadt meg, akkor a felhasználó kilépési ideje helyett a „down” szó van (ezekből a sorokból könnyen meghatározható a rendszerleállási idő). Az újraindítási idő külön sorokban jelenik meg, amelyek az „újraindítás” szóval kezdődnek.
Csapat lastb mint egy csapat utolsó, de információkat jelenít meg a sikertelen felhasználói bejelentkezési kísérletekről. Azonban meg kell jegyezni, hogy ez a parancs csak akkor működik, ha a fájl létezik. /var/log/btmp. Azonban az itt tárgyalt programok egyike sem hoz létre naplófájlokat, így ha valamelyiket töröljük, akkor a nyilvántartás megszűnik.
Csapat lastlog formázza és kiadja a fájl tartalmát /var/log/lastlog. Megjelenik a felhasználónév, a terminál neve, amelyről a felhasználó bejelentkezett, valamint az utolsó bejelentkezési idő. Alapértelmezés szerint (amikor a parancsot paraméterek nélkül adjuk meg) a fájl elemei /var/log/lastlog a felhasználói azonosító számok sorrendjében jelenik meg. Ha megadja a -u login-name opciót, akkor csak a megadott felhasználó utolsó bejelentkezési idejére vonatkozó információ jelenik meg. A -t days opció megadásával csak a napok utolsó napjaira kap bejegyzéseket. Ha a felhasználó még egyáltalán nem jelentkezett be, akkor a terminálnév és az utolsó bejelentkezési idő helyett a „**Soha nem jelentkezett be**” karakterlánc jelenik meg.
A parancs végrehajtásakor lastlog lassú számítógépen bizonyos esetekben úgy tűnhet, hogy a parancs "lóg". Ez annak köszönhető, hogy ha csak két felhasználó (root és user) van regisztrálva a rendszerben, a fájlban /var/log/lastlog továbbra is helyet foglalnak a rendszerben dolgozni tudó felhasználók maximális száma számára. Ezért a fájlban /var/log/lastlog nagy eltérések lehetnek a bejelentkezett felhasználók azonosítószáma között. Mivel az ilyen intervallumok megtekintésekor a program nem jelenít meg információkat a képernyőn, és „lógás” benyomása támad.
A rendszerben jelenleg dolgozó személyek információinak megjelenítéséhez használja a parancsokat w, WHOÉs felhasználókat. Csapat felhasználókat akkor használatos, ha csak azt szeretné tudni, hogy éppen melyik felhasználó dolgozik a rendszerben, de nem érdekli, hogy melyik terminálról csatlakozott és mit csinál. Ha tudni szeretné, hogy ki melyik terminálról van bejelentkezve, használja a parancsot WHO. Ez a parancs információkat nyomtat egy fájlból /var/run/utmp. Kényszerítheti, hogy adatokat adjon ki egy fájlból /var/log/wtmp(vagy bármely más fájl, amelyhez értelme van), ha megadja ennek a fájlnak a nevét parancs sor. A kimenetben azonban továbbra is csak a felhasználónév, a terminál jelzése, amelyről a felhasználó bejelentkezett, a bejelentkezési idő, távoli számítógépről történő bejelentkezés esetén pedig ennek a számítógépnek a neve jelenik meg.
A parancs lényegesen több információt jelenít meg w. A kimenetén láthatja az aktuális időt, mennyi ideig fut a rendszer, hány felhasználó van jelenleg bejelentkezve a rendszerbe, valamint az átlagos rendszerterhelést az utolsó percben, 5 és 15 percben. Ezután minden felhasználó számára a következőket adja ki:
Mint már említettük, a parancs w fájlban tárolt információkat nyomtat ki utmp. Apropó, vezetés Férfi kimondja, hogy a közönséges felhasználóktól meg kell tagadni az írási hozzáférést a fájlhoz utmp, hiszen sok rendszerprogramok(valamilyen megmagyarázhatatlan okból) az integritásától függ. Megzavarodhat rendszerfájlokat statisztikákat, és módosítsa a rendszerfájlokat, ha engedélyezi bármely felhasználó számára, hogy írjon az utmp fájlba.
A Samba-server a fő szerver működési protokollon kívül egy alkönyvtárban hoz létre /var/log/samba számos naplófájl különböző alkalmakra, különösen külön fájl minden egyes felhasználó számára, akik jogosultak a szerver által biztosított erőforrások használatára. Egy ilyen fájlból a következő két bejegyzés készül:
smbd/service.c:make_connection(550) linux (192.168.36.10) csatlakozik a nyilvános szolgáltatáshoz kos felhasználóként (uid=500, gid=500) (pid 1366) smbd/service.c:close_cnum(550) linux (192. 36.10) zárt kapcsolat a nyilvános szolgáltatással A fenti példák azt mutatják, hogy ha tud egy kicsit angolul, és érti a rekordok szerkezetét, akkor sok hasznos információ. Csak az egész „hulladékkő” lerakódásokból kell kinyerni – hatalmas, egymást követő naplófájlokból, ami nem triviális feladat. Ezért különleges szoftver protokoll elemzéshez.
Számos különböző programot és szkriptet fejlesztettek ki a protokollelemzéshez. behatárolom magam rövid leírás két ilyen eszköz: log óraÉs néz.
log óra egy Perl-szkript, amely a szabványos Red Hat Linux disztribúció része. Éppen a cikk elkészítésekor a program 4.1-es verziója megjelent a fejlesztő webhelyén (ő Kirk Bauer).
A program alapötlete az, hogy a naplófájl egy szűrőn halad át, amely kivonja a naplóból az összes olyan sort (azaz üzenetet), amely megfelel a megadott feltételeknek. Az eredményeket e-mailben küldi el a megadott felhasználó (alapértelmezés szerint root). A szűrők bármilyen programozási nyelven írhatók, de a csomag szerzője a Perl-t részesíti előnyben. A szűrőket úgy kell megírni, hogy az stdin-ből olvassa be az adatokat, és az eredményt az stdout-ba adja ki.
Fő felhasználás log óra tartalmaz egy hivatkozást a fő szkriptre ( /etc/log.d/scripts/logwatch.pl) az /etc/cron.daily könyvtárba, ami napi végrehajtást okoz log óra alapértelmezett beállításokkal. A hivatkozás „00”-val kezdődő nevet kap (például 00-logwatch), így a szkript a logrotate előtt fut.
De a parancsfájlt parancssorból is futtathatja. Természetesen, ha nem változtatta meg az információs kimeneti paramétert, akkor annak munkájának eredményét kell keresni postafiók szuperfelhasználó. Ha ezeket az eredményeket szeretné látni a képernyőn, akkor meg kell adnia a paramétert a parancssorban --nyomtatás- jelentést nyomtatni az stdout-ra.
A szkript futtatásának általános formátuma:
/etc/log.d/scripts/logwatch.pl [--részlet szint ] [--log fájl log-csoport ] [--szolgáltatás szolgáltatás neve ] [--print] [--mailto cím ] [--megment fájl név ] [--archívum] [--tartomány dátum-intervallum ]
Az alapértelmezett beállítások az /etc/log.d/logwatch.conf fájlban vannak tárolva, amelyekben található megjegyzések lehetővé teszik a parancssori opciók jelentésének megértését:
További információ a forgatókönyvről log óra-ben találja meg.
A cikk egy másik szkriptet ír le a naplófájlok feldolgozásához, amely a Mandrake Linux disztribúcióban található. Ezt a szkriptet hívják néz("Simple WATCHer"), és szintén Perl nyelven íródott.
Munkairányítás néz alapértelmezés szerint egyetlen konfigurációs fájllal történik $HOME/.swatchrc. Ez a fájl minta szöveget tartalmaz (az űrlap reguláris kifejezések), melyik néz naplófájlokban fog nézni. Minden ilyen mintát egy cselekvés követ, amely néz fel kell vennie, ha talál a mintának megfelelő szöveget.
Például minden alkalommal figyelmeztetést szeretne kapni, amikor puffertúlcsordulási támadást kísérelnek meg a webszerveren, amikor nagyon hosszú fájlnevet kérnek. És tudod, hogy ilyen esetekben a naplófájlban /var/apache/error.log megjelenik egy üzenet, amely a következő szavakat tartalmazza: "A fájlnév túl hosszú". Ebben az esetben a fájlodban .swatchrc illessze be a következő állítást:
Watchfor /A fájlnév túl hosszú/mail [e-mail védett], tárgy=BufferOverflow_attempt
Itt nem adok részletesebb leírást a programról. néz. Lelkes cikket szentelnek neki, maga a program pedig megtalálható a honlapon. Csak szeretném rámutatni és néz, És log óra egy meglehetősen primitív protokollfájl-feldolgozó algoritmust valósítson meg, amely egy adott karakterlánc (aláírás) keresésében merül ki a protokollban. Eközben egyrészt egy ilyen karakterlánc jelenléte gyakran még nem jelzi a támadó behatolását, másrészt egy hozzáértő támadó gondoskodhat tevékenysége nyomainak eltüntetéséről. A vizsgált termékek másik nyilvánvaló hátránya, hogy „késleltetett üzemmódban” működnek, mivel csak ütemezetten kerülnek forgalomba. A behatolók elleni küzdelmet pedig "valós időben" kell végrehajtani, azonnal reagálva a rendszerbe való behatolási kísérletekre. Ezért a kereskedelmi termékek olyan megfigyelő rendszereket kínálnak, amelyek folyamatosan működnek, és "intelligens" protokollelemző algoritmusokat valósítanak meg. Ezek az algoritmusok az üzenetfolyam statisztikai elemzésén és a rendszer normál viselkedésétől való statisztikailag szignifikáns eltéréseinek azonosításán alapulnak.
Ennek a szakasznak a végén szeretném megjegyezni, hogy a SecurityLab.ru webhely (http://www.securitylab.ru/tools/?ID=22111) tartalmaz egy listát a protokollok feldolgozására szolgáló szoftvereszközök webhelyeire mutató hivatkozásokról. ezeknek az eszközöknek a rövid leírása. Kísérletezhet különféle programokkal, és kiválaszthatja az Önnek megfelelőt.
Forgatókönyv log forgatni figyeli a naplófájlok növekedését, és biztosítja ezeknek a fájlok úgynevezett rotációját, ha túllépik a megadott méretet (vagy a megadott időintervallum után). A forgatás nem más, mint a szekvenciális másolás előző verziók ilyen fájlok archiválása:
A szkript által feldolgozandó fájlok listája log forgatniés ennek a feldolgozásnak a paramétereit konfigurációs fájlok határozzák meg, amelyek több is lehetnek. A konfigurációs fájlok neve a szkript indításának parancssorában van megadva (lásd az alábbi indítási beállításokat). A Red Hat Linux rendszeren alapértelmezés szerint konfigurációs fájlként a következőhöz: log forgatni fájlt használják /etc/logrotate.conf, ami valahogy így nézhet ki:
Heti rotate 4 létrehozási tömörítés: /etc/logrotate.d /var/log/wtmp /var/log/lastlog (havi létrehozás 0664 root utmp rotate 1)
Ez a fájl olyan, mint bármely parancsfájl konfigurációs fájlja. log forgatni több részből áll. Az első szakasz meghatározza a globális beállításokat (soronként egyet), amelyek beállítják az összes napló alapértelmezett beállításait. A következő szakaszok helyi beállításokat határoznak meg egy sor naplófájlhoz. Ezen fájlok nevei a szakasz első sorában vannak felsorolva, majd a helyi paraméterek kapcsos zárójelben vannak beállítva, amelyek csak a megadott fájlok feldolgozásakor érvényesek (soronként egy paraméter is). A naplófájlnevek a shell szabályok szerint idézhetők, ha szóközt vagy más speciális karaktert tartalmaznak. Több fájlnevet vagy fájlnév-mintát is megadhat szóközzel elválasztva (a sablonok a shell-szabályokat is követik). Az egyes szakaszok feldolgozását egyetlen műveletként kezeljük. A „#” karakterrel kezdődő sorok megjegyzések. A helyi beállítások elsőbbséget élveznek a globálisakkal szemben.
A megadott példa konfigurációs fájlban először a globális paraméterek kerülnek leírásra, majd egy külön részben a /var/log/wtmp és /var/log/lastlog fájlok feldolgozásának paraméterei. Ezen kívül a globális paraméterek között egy hivatkozás is található a könyvtárra /etc/logrotate.d, amelybe minden csomag helyi beállításokat ír a naplóihoz.
A globális beállítások részben először a következő paraméterek egyike van beállítva, amely meghatározza a fájlforgatási feltételeket:
Paraméter forog szám globális és lokális paraméterek között is elhelyezhető, és meghatározza, hogy hány régi verziót kell tárolni; ha a szám 0, akkor nem jön létre a protokoll archivált verziója.
Ha a paraméter be van állítva borogatás, akkor a régebbi verziók a gzip segítségével tömörítve vannak, és ha meg van adva nincs tömörítés- nem tömörítenek. Paraméter cmd tömörítése lehetővé teszi annak megadását, hogy melyik tömörítőprogramot használja (alapértelmezett a gzip), és cmd kibontása megadja a kicsomagoló programot (alapértelmezett az ungzip). tömörítési opciók beállítja a tömörítő program paramétereit; az alapértelmezett "-9", azaz. maximális tömörítés a gzip számára. A paraméter használatával tömörítve módosíthatja az utótagot tömörített fájlokat, és a paraméter kiterjesztés utótag meghatároz egy utótagot a fájlnevekhez a forgatás során (a tömörítési utótag előtt).
Között kulcsszavakat a konfigurációs fájlokban található szavak utólagos forgatásÉs előforgatni, amelyek nyitó zárójelként szolgálnak a shell-szkriptek konfigurációs fájlokba való felvételéhez. A konfigurációs fájl összes sora a sorból utólagos forgatás egészen a vonalig végirat shell-parancsként futnak le a naplófájl verziójának módosítása után. Ennek megfelelően az összes sor a sorból előforgatni egészen a vonalig végirat a naplófájlok elforgatása előtt végrehajtódnak. Ezekkel a parancsfájlokkal különféle eljárásokat szervezhet a naplófájlok forgatás közbeni feldolgozására.
A konfigurációs fájl egyéb paramétereivel felülírhatja a naplófájlokhoz való hozzáférési jogokat (ha ez a paraméter nincs beállítva, akkor a régi naplófájl attribútumai kerülnek felhasználásra); meghatározza, hogy kinek küldjön hibaüzenetet a naplózó rendszer működésével kapcsolatban; elküldi a napló archív másolatát a megadott felhasználónak; adjon meg egy könyvtárat, amelybe a protokollok átkerülnek a verzióváltás során (a könyvtárnak ugyanazon a fizikai eszközön kell lennie, mint a /var/log), vagy adja meg a kizárási utótagok listáját a könyvtár számára tartalmazza. Részletes leírás ezeket a funkciókat és opciókat (valamint azokat, amelyeket nem említettünk) paranccsal találja meg manlogrotate.
Mint már említettük, további konfigurációs fájlok log forgatni a script indító parancssorban adható meg. Tetszőleges számú konfigurációs fájl vagy könyvtárnév megadható. A listában szereplő fájlok és könyvtárak nevei egyszerű szóközökkel vannak elválasztva. A nevek listában való megjelenési sorrendje számít, mert a következő konfigurációs fájlban megadott beállítások felülírják a előző fájl. A konfigurációs könyvtárban lévő fájlok sorrendje nincs meghatározva.
A következő beállításokat is megadhatja az indítási parancssorban:
A syslog protokoll és a támogató szoftver biztosítja az események információinak rögzítését a rendszernaplóban (naplók, rendszerkonzol), valamint azok hálózaton keresztül történő továbbítását a naplózó szerverre, az üzenetek forrásától és fontosságától függően rendezését és feldolgozását. A cikk ismerteti a syslog protokollt, annak megvalósítását Solarisban és Linuxban (syslogd), Cisco IOS-ben, valamint a segédeszközöket: logrotate, logwatch.
A rendszer összetevői egy üzenetgenerátor (eszköz vagy folyamat), egy csereprotokoll, egy üzenetgyűjtő (gyűjtő, syslog szerver), egy közvetítő (továbbító, fogadja az üzeneteket egy vagy több generátortól és továbbítja azokat egy vagy több gyűjtőhöz ill. a következő relék). A generátor (vagy továbbításkor relé) nem tudja, hogy a vevő relé vagy gyűjtő, egy üzenetet több vevőnek is továbbíthat, magát az üzenetet tudja feldolgozni (pl. fájlba írás).
A syslog protokoll nem tartalmaz védelmet az üzenethamisítás ellen. Rosszabb esetben a használat UDP protokoll lehetővé teszi a támadók számára, hogy üzeneteket küldjenek bármely gazdagép nevében. A LAN-t le kell védeni (IOS ACL, ipchains) a hamisított helyi címekkel rendelkező csomagok fogadása ellen (bár ez nem akadályozza meg a hamisított üzenetek LAN-on belülről történő küldését), valamint a külső csomagok fogadását az 514/udp porton. Ismeretesek a lemeztúlcsordulás hamis üzenetekkel járó esetei.
A syslog protokoll és az UDP nem biztosít garantált kézbesítést (az üzenetek a hálózat torlódása miatt elveszhetnek vagy elfoghatók, a sérült üzenetek figyelmeztetés nélkül törlődnek), a megfelelő kézbesítési sorrendet (a folyamatlezáró üzenet a folyamatindítási üzenet előtt is megérkezhet), prioritásos kézbesítést .
Az üzenetek titkossága nem biztosított, mivel azokat tiszta szövegben továbbítják.
Ha rossz gyűjtő vagy közvetítő címet ad meg az üzenetgenerátor beállításakor, akkor nem lesz hibaüzenet - az üzenetek törlődnek (vagy valaki más naplójába íródnak;).
Nincsenek olyan eszközök, amelyek megakadályozzák, hogy a helytelenül konfigurált relék üzenetátviteli hurkot okozzanak.
Az RFC 3195 új protokollt javasol a TCP-n keresztül (syslog-conn, 601), amely garantált kézbesítést biztosít a megfelelő sorrendben. A megvalósítás számomra nem ismert. XML, SMTP-stílusú parancsok és visszatérési kódok, valamint MIME (BEEP) fejlécek szörnyű keveréke, amelyek a szabványos syslog formátumú üzeneteket csomagolják. Két mód van használatban: RAW (a jelenlegi UDP protokollhoz hasonlóan) és COOKED (az üzenetek mezők szerint vannak strukturálva). A BEEP lehetővé teszi a hitelesítés, az integritás és a titkosság (SASL, TLS) biztosítását.
A syslog-sign RFC projekt hitelesítést, üzenetrendezést, üzenetintegritást és a hiányzó üzenetek észlelését javasolja speciális üzenetek generálásával, amelyek a korábbi üzenetek blokkjának digitális aláírását tartalmazzák, megőrizve a szabványos syslog protokollt és formátumot, valamint UDP használatával. SHA1, OpenPGP DSA használja.
Az 514/UDP port az üzenetek fogadására szolgál. Szintén ajánlott az 514-es forrásport használata az üzenettovábbításhoz. Az üzenet egy szöveges karakterlánc, és nem lehet hosszabb 1024 bájtnál, ellenkező esetben csonkolható vagy akár ki is dobható. Még az 514-es portra küldött rosszul formázott üzenetet is rendszernapló-üzenetként kell kezelni. Ha azonban a relé tovább küldi az üzenetet, akkor hozzá kell adnia a szabványos fejléceket (esetleg 1024 bájtra csonkolva) - FELHASZNÁLÓ, MEGJEGYZÉS, a helyi idő és az üzenetforrás egyszerű neve.
Az üzenet egy PRI mezővel kezdődik, amely az üzenet forrására (létesítményre) és az üzenet súlyossági szintjére (Severity level) vonatkozó információkat kódolta. Ezt követi az idő (TIMESTAMP), egy szóköz, a gazdagépnév vagy IP-cím decimális jelöléssel (HOSTNAME), egy szóköz, egy egyéni üzenetszöveg (MSG) US-ASCII-ben (0x20 - 0x7e).
A gazdagépnév (egyszerű, nem FQDN!) az üzenetgenerátor által ismert módon van írva. Ha az eszköznek több interfésze van különböző IP-címekkel, akkor ezek bármelyike használható gazdagépnévként vagy címként.
Az üzenettörzs (MSG) általában tartalmaz egy címkét (TAG), amely jelzi az üzenetet kiadó programot vagy folyamatot, valamint az üzenet törzsét (CONTENT). A címke latin betűket és számokat tartalmazhat. Az üzenettörzs kezdetét az első speciális karakter határozza meg, általában kettőspont vagy nyitott szögletes zárójel. Például a Cisco IOS az üzenet sorszámát és kettőspontot használja címkeként, míg a Unix az egyszerű programnevet (az üzenet törzse szögletes zárójelben lévő folyamatszámmal és kettősponttal kezdődik).
syslogdüzeneteket fogad az 514/UDP portról és helyi forrásokból (socket /dev/log), az üzenetforrástól és a súlyossági szinttől függően továbbítja azokat. Lehetővé teszi üzenetek kiadását a naplóba, kimenetet a konzolra, terminálra, elküldést egy másik szerverre. Egy további típusú forrás MARK kerül bevezetésre (normál jegyek, információ)
Minden naplósor egyetlen üzenetbejegyzést tartalmaz, amely szóközzel elválasztott mezőkből áll:
Indítási paraméterek:
Felhasznált fájlok:
Reakció a jelekre:
Rootként fut. Nem változtatja meg a fájlengedélyeket. Ha egy fájl létrehozására kényszerül, akkor azt 644 jogosultsággal hozza létre, ha a naplóhoz való hozzáférés korlátozása szükséges, akkor a megfelelő fájlt manuálisan kell létrehozni (vagy módosítani kell a hozzáférési jogosultságokat). Különleges problémákat okoz log forgatni.
Üzenetirányítási szabályok halmazát képviseli. Minden szabály egy választóból és egy tabulátorokkal (Régebbi rendszerekben Solaris 5) vagy szóközökkel (Linux) elválasztott műveletből áll. Amikor üzenet érkezik a naplózáshoz (a klogd-től, egy helyi vagy távoli programtól), a syslogd minden szabályt ellenőrzi, hogy az üzenet megfelel-e a választó által megadott mintának. Ha egyezik, akkor a szabályban meghatározott művelet végrehajtásra kerül. Egy üzenethez m. tetszőleges számú műveletet hajtottak végre (azaz az üzenetfeldolgozás nem áll le az első sikernél).
A választó két ponttal elválasztott részből áll: az üzenet forrásából és a súlyossági szintből. A kis- és nagybetűket nem különböztetik meg. Használhat számokat is (lásd: /usr/include/syslog.h). A syslog.3-ban definiált forrásokon kívül megadható Mark(szokásos időbélyegek), Biztonság(elavult szinonimája a auth). A syslog.h-ban meghatározott súlyossági szinteken kívül használhatja figyelmeztet(szinonimája a Figyelem), hiba(szinonimája a téved), pánik(szinonimája a felbukkan). Azok az üzenetek, amelyeknek a szintje egyenlő vagy nagyobb, mint a választóban megadott, és a forrása megegyezik a szelektorban megadottal, megfelelőnek tekinthető. A pont előtti csillag bármely forrásnak, a pont után bármely szintnek megfelel. Szó egyik sem a pont után - nincs szint ehhez a forráshoz. Egy választóban több forrást is megadhat (vesszővel elválasztva). Ugyanabban a sorban több választó is megadható. A szemantika nem egyértelmű: ha pozitív szelektorokat használunk, akkor a logikai VAGY, ha negatív ( egyik semés egy felkiáltójel), majd a logikai ÉS.
Az új syslogd-ban (linux) a szint elé egyenlőségjelet írhat - csak a megadott szintű (de nem a legmagasabb) üzenetek egyeznek a választóval; felkiáltójel – nem egyezik meg az egyenlő vagy annál magasabb szintű üzenetekkel; felkiáltójel és egyenlő - nem egyezik meg a megadott szinttel megegyező szintű üzeneteket.
Műveletként megadhatja:
A konfigurációs fájl elemzésekor syslogdösszehasonlítja a címet loghost(az /etc/hosts fájlban definiálva, nem DNS-en keresztül) a számítógép címével, és ha egyezik, definiálja a változót LOGHOST. A syslog.conf ezután átkerül az m4(1) makróprocesszoron. Alapvetően ez arra szolgál, hogy ugyanazt a konfigurációs fájlt lehessen használni a kliens és a szerver (rendszernapló szempontjából) gazdagépen.
Eljárás indítása és leállítása: /etc/init.d/syslog(hivatkozások az /etc/rc?.d könyvtárból). A folyamatszámot a rendszer tárolja /etc/syslog.pid.
A klogd beolvassa a kernel üzeneteit (akár a /proc/kmsg-n keresztül, akár a rendszerhívásokon keresztül), meghatározza a szintet, a parancscímeket programnevekké alakítja, és átadja az üzenetet a syslogd-nek.
Indítási paraméterek:
Kernel üzenetszintek (a szögletes zárójelben lévő számok határozzák meg, és a rendszernapló súlyossági szintjére konvertálva, változatlanok a fájlba történő kimenetkor):
Reakció a jelekre:
A folyamatszámot a rendszer tárolja /var/run/klogd.pid.
Napló inicializálása: openlog- jelzi az összes következő üzenethez hozzáadott szabványos előtagot (általában a program nevét, a folyamat számát szögletes zárójelben és kettőspontot); forrás és opciók. closelog- a fakitermelés befejezése. syslog- naplózás (a forrást, a súlyossági szintet és a vonalformátumot jelzi, mint a printf-ben).
log forgatni(3.2-1/3.3.2-1/3.5.9 verzió) - harc a növekvő naplók ellen: forgatás (verzió), tömörítés, törlés és postázás. Naponta cron /etc/cron.daily/logrotate), és lehetővé teszi a naplók feldolgozását, ha azok meghaladták a megadott méretet vagy a megadott időintervallumban. Lehetővé teszi nemcsak a syslog naplók feldolgozását, hanem bármely más program feldolgozását is. Lehetőségek:
A konfigurációs fájl globális beállításokat határoz meg (soronként egyet), amelyek beállítják az összes napló alapértelmezett beállításait. Minden feldolgozandó naplósorozathoz a helyi beállításokat az alap fájlnév, majd a helyi beállítások megadásával kapcsos zárójelben adja meg, soronként egyet. Egy fájlnév a shell szabályok szerint idézhető, ha szóközt és egyéb speciális karaktereket tartalmaz. Több fájlnevet vagy fájlnév-mintát is megadhat szóközzel elválasztva (a sablonok a shell-szabályokat is követik). Az egyes szakaszok feldolgozását egyetlen műveletként kezeljük. A „#” karakterrel kezdődő sorok megjegyzések. A következő konfigurációs fájlban megadott beállítások felülírják az előző fájlban megadott beállítások jelentését. A helyi beállítások elsőbbséget élveznek a globálisakkal szemben. A konfigurációs könyvtárban lévő fájlok sorrendje nincs meghatározva.
Lehetőségek:
RH szállítja /etc/logrotate.conf leírja a /var/log/wtmp és /var/log/lastlog globális beállításait és beállításait, és hivatkozik a könyvtárra /etc/logrotate.d, amelybe minden csomag helyi beállításokat ír a naplóihoz.
A logwatch egy olyan keretrendszer, amely programokat ír (úgynevezett szűrőket), hogy hasznos információkat nyerjen ki számos nagy és változatos naplóból (nem csak a syslogból). A "csomag" számos Red Hat Linuxra tervezett szűrőt tartalmaz (valami ősi verzió, mert az inetd-t említik a xinetd helyett), de ezeket neked kell egy adott helyzethez igazítanod. Utoljára módosítva 2000 szeptemberében mutatta be a szerző, így további fejlesztésre már nem lehet számítani.
A szűrők bármilyen programozási nyelven írhatók, de a csomag szerzője a perl-t részesíti előnyben. A szűrőket úgy kell megírni, hogy az stdin-ből olvassa be az adatokat, és az eredményt az stdout-ba adja ki. A szűrő meghívása előtt a következő környezeti változók kerülnek beállításra: LOGWATCH_DATE_RANGE, LOGWATCH_DETAIL_LEVEL, LOGWATCH_TEMP_DIR, LOGWATCH_DEBUG. A fő program is perl-ben van írva: /etc/log.d/scripts/logwatch.pl(Az /etc/log.d/logwatch, /usr/sbin/logwatch és /etc/cron.daily/00-logwatch szimbolikus hivatkozások rá).
Könyvtár /etc/log.d/conf/logfiles/ naplócsoport konfigurációs fájlokat tartalmaz, amelyek a karbantartott szolgáltatások rekordjait tárolják. Minden csoport leírása külön fájlban található csoport név.conf, amely meghatározza:
Könyvtár /etc/log.d/conf/services/ olyan szolgáltatások konfigurációs fájljait tartalmazza, amelyek naplóbejegyzéseit a logwatch feldolgozza. Minden szolgáltatás leírása külön fájlban található szolgáltatás neve.conf, amely meghatározza:
Könyvtár /etc/log.d/scripts/logfiles/ szűrőket tartalmaz a naplócsoportok feldolgozásához: naplócsoport feldolgozásakor a könyvtárban lévő összes fájl /etc/log.d/scripts/logfiles/ csoport név szűrőként használják.
Könyvtár /etc/log.d/scripts/services/ szűrőket tartalmaz adott szolgáltatások rekordjainak feldolgozásához.
Könyvtár /etc/log.d/scripts/shared/ a naplócsoport konfigurációs fájljaiban használt általános szűrőket tartalmazza:
Az alapértelmezett paraméterek az /etc/log.d/conf/logwatch.conf fájlban tárolódnak (az /etc/log.d/logwatch.conf szimbolikus hivatkozással rendelkezik rá), a megjegyzések lehetővé teszik a jelentés megértését. a paraméterek közül:
Indítási paraméterek:
A fő használat az, hogy a 00-logwatch fájlt (a logrotate előtt "00"-val kezdődik) az /etc/cron.daily könyvtárba helyezzük, ami miatt a logwatch naponta fut az alapértelmezett beállításokkal.
Sajnos az összes szűrőt úgy tervezték, hogy a naplók ugyanazon a gazdagépen legyenek írva, amelyen a szolgáltatás fut.
Minden naplót egy számítógépen tárolunk (ha paranoiás, akkor egyszerre két szerveren is írhat naplókat).
A formális forrásnév és egy valós eszköz vagy program közötti megfelelés:
A szerveren nyitott képernyőnek kell lennie az 514/udp porthoz (korlátozhatja a csomagok forráscímét, de ez csak a balesetek ellen segít). A syslogd indítása (az /etc/rc.d/init.d/syslog vagy az /etc/sysconfig/syslog fájlok beállításai) a "-r -m 0" kapcsolókkal kell, hogy legyen (és a "-x" kapcsolókkal is, ha ugyanazon a számítógépen fut DNS szerver). A klogd indítása a "-2 -c 1" opciókkal. A syslog.conf beállítása:
A kliens számítógépeken úgy állítjuk be a syslog-ot, hogy az összes üzenet a rendszernapló-kiszolgálóra kerüljön, a hibaüzenetek a /var/log/syslog-ban, a kritikus állapotüzenetek a konzolon, a felhasználói terminálokon duplikálódnak. A linuxos számítógépeken a rendszerindító üzeneteket is kiírhatja egy helyi fájlba (local7, boot.log). A tartalék rendszernapló-kiszolgálónak fogadnia kell az üzeneteket kritikus szint a hálózatról, és írja be őket egy fájlba (lyuk a képernyőn, indító billentyű "-r").
logrotate: örökre tárolja, a lehető legritkábban módosítja a verziókat (havonta, kivéve a squid), külön könyvtárakba írja (kivéve a squid) és tömörítse (késleltetett módban, kivéve ftpd, linuxconf, sendfax), hibákat és törölt fájlokat küld nekem. A syslog paramétereinek egyezése.
