Product SiteDocumentation Site

9.5. syslog Kejadian Sistem

9.5.1. Prinsip dan Mekanisme

Daemon rsyslogd bertanggung jawab untuk mengumpulkan pesan layanan yang berasal dari aplikasi dan kernel, lalu mengirim mereka ke dalam berkas log (biasanya disimpan dalam direktori /var/log/). Ini mematuhi berkas konfigurasi /etc/rsyslog.conf.
Setiap pesan log terkait dengan suatu subsistem aplikasi (disebut 'fasilitas' dalam dokumentasi):
  • auth dan authpriv: untuk otentikasi;
  • cron: berasal dari layanan penjadwalan tugas, cron dan atd;
  • daemon: mempengaruhi daemon tanpa klasifikasi khusus apapun (DNS, NTP, dll);
  • ftp: menyangkut server FTP;
  • kern: pesan yang datang dari kernel;
  • lpr: berasal dari subsistem pencetakan;
  • mail: berasal dari subsistem surel;
  • news: pesan subsistem Usenet (terutama dari NNTP — Network News Transfer Protocol — server yang mengelola newsgroup);
  • syslog: pesan-pesan dari server syslogd itu sendiri;
  • user: pesan-pesan pengguna (generik);
  • uucp: pesan dari server UUCP (Unix to Unix Copy Program, protokol tua yang terutama digunakan untuk mendistribusikan pesan surel);
  • local0 sampai local7: disediakan untuk penggunaan lokal.
Setiap pesan ini juga dikaitkan dengan tingkat prioritas. Berikut adalah daftar yang terurut turun:
  • emerg: "Tolong!" Ada keadaan darurat, sistem ini mungkin tidak dapat digunakan.
  • alert: buru-buru, penundaan bisa berbahaya, tindakan harus diambil segera;
  • crit: kondisi kritis;
  • err: kesalahan;
  • warn: peringatan (potensi kesalahan);
  • notice: kondisi normal, tapi pesan tersebut penting;
  • info: pesan informatif;
  • debug: pesan pengawakutuan (debug).

9.5.2. Berkas Konfigurasi

The syntax of the /etc/rsyslog.conf file is detailed in the rsyslog.conf(5) manual page, but there is also HTML documentation available in the rsyslog-doc package (/usr/share/doc/rsyslog-doc/html/index.html). The overall principle is to write “selector” and “action” pairs. The selector defines all relevant messages, and the action describes how to deal with them.

9.5.2.1. Sintaks dari Pemilih

Pemilih adalah sebuah daftar pasangan yang dipisah titik koma subsistem.prioritas (contoh: auth.notice;mail.info). Bintang dapat mewakili semua subsistem atau semua prioritas (contoh: *.alert atau mail.*). Beberapa subsistem dapat dikelompokkan, dengan memisahkan mereka dengan tanda koma (contoh: auth,mail.info). Prioritas yang ditunjukkan juga mencakup pesan prioritas yang sama atau lebih tinggi; dengan demikian auth.alert menunjukkan subsistem pesan auth dengan prioritas alert atau emerg. Diawali dengan tanda seru (!), ini menunjukkan sebaliknya, dengan kata lain hanya prioritas yang lebih rendah; auth.!notice, dengan demikian, menunjukkan pesan yang dikeluarkan dari auth, dengan prioritas info atau debug. Diawali dengan tanda sama dengan (=), sesuai dengan hanya prioritas ditunjukkan (oauth.=notice pesan dari auth ini hanya berkenaan dengan prioritas notice).
Setiap elemen dalam daftar pada pemilih menimpa unsur-unsur sebelumnya. Dengan demikian dimungkinkan untuk membatasi satu set atau untuk mengecualikan unsur-unsur tertentu dari itu. Sebagai contoh, kern.info;kern.!err berarti pesan dari kernel dengan prioritas antara info dan warn. Prioritas none menunjukkan kumpulan kosong (tidak ada prioritas), dan dapat dipakai untuk mengecualikan subsistem dari serangkaian pesan. Dengan demikian, *. crit;kern.none menunjukkan semua pesan prioritas yang sama dengan atau lebih tinggi dari crit yang bukan berasal dari kernel.

9.5.2.2. Sintaks Tindakan

KEMBALI KE DASAR Pipa bernama (named pipe), pipa persisten

Pipa bernama adalah berkas jenis khusus yang beroperasi seperti pipa tradisional (pipa yang Anda buat dengan simbol "|" pada baris perintah), tetapi melalui berkas. Mekanisme ini memiliki keuntungan yang mampu menghubungkan dua proses yang tidak terkait. Apa pun yang ditulis ke pipa bernama memblokir proses yang menulis sampai proses lain berusaha untuk membaca data yang dituliskan. Proses kedua ini membaca data yang ditulis oleh yang pertama, yang kemudian dapat melanjutkan eksekusi.
Berkas seperti itu dibuat dengan perintah mkfifo.
Berbagai tindakan yang mungkin adalah:
  • menambahkan pesan ke berkas (contoh: /var/log/messages);
  • mengirim pesan ke server syslog remote (contoh: @log.falcot.com);
  • mengirim pesan ke pipa bernama yang ada (contoh: |/dev/xconsole);
  • mengirim pesan ke satu atau lebih pengguna, jika mereka login (contoh: root, rhertzog);
  • mengirim pesan ke semua pengguna yang login (contoh: *);
  • menulis pesan dalam konsol teks (contoh: /dev/tty8).

KEAMANAN Meneruskan log

Ini adalah ide yang baik untuk merekam log-log yang paling penting pada mesin terpisah (mungkin didedikasikan untuk tujuan ini), karena ini akan mencegah penyusup apapun mungkin menghapus jejak-jejak intrusi mereka (kecuali, tentu saja, mereka juga mengkompromi server lain ini). Selanjutnya, dalam hal masalah besar (seperti kernel crash), Anda memiliki log yang tersedia pada mesin lain, yang akan meningkatkan kesempatan Anda untuk menentukan urutan peristiwa yang menyebabkan crash.
Untuk menerima log pesan yang dikirim oleh mesin lainnya, Anda harus mengkonfigurasi ulang rsyslog: dalam praktek, cukup untuk mengaktifkan entri siap pakai dalam /etc/rsyslog.conf ($ModLoad imudp dan $UDPServerRun 514).