- 論壇徽章:
- 0
|
syslog機制負責(zé)發(fā)送、記錄系統(tǒng)內(nèi)核及工具所產(chǎn)生的信息�����,由syslog()調(diào)用��、syslogd守護進程和配置文件 /etc/syslog.conf組成����。當系統(tǒng)內(nèi)核及工具產(chǎn)生信息時�,通過調(diào)用syslog(),把信息送往syslogd����,syslogd再根據(jù) /etc/syslog.conf中的配置要求,將這些信息分別作如下處理:
1.記錄到系統(tǒng)日志中�����;
2.輸出到系統(tǒng)控制臺上;
3.轉(zhuǎn)發(fā)給指定的用戶����;
4.通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)給其它主機上的syslogd。
通過syslog.conf的配置�,我們可以靈活地對信息的發(fā)送和保存進行控制。
klogd主要紀錄一些系統(tǒng)內(nèi)核的動作�����,對攻擊者最受影響的是syslogd這個進程.它可以接收訪問系統(tǒng)的日志信息并且根據(jù)/etc/syslog.conf配置文件中的指令處理
因此��,任何希望生成日志信息的程序都可向syslog接口呼叫來生成改信息�。/etc/syslog.conf的主要是如下語句形式:
facility.level action
facility 代表各種服務(wù),level代表syslog的認證級別�,action代表的是針對前面信息的處理。大家可以注意action字段�,有時候會把信息發(fā)送到另外一臺機器而不是熟悉的/var/adm/messages的。
syslogd -r 接受來至遠程系統(tǒng)信息
etc/syslog.conf文件中的一項配置記錄由“選項”(selector)和“動作”(action)兩個部分組成����,兩者間用tab制表符進行分隔。而“選項”又由一個或多個形如“類型.級別”格式的保留字段組合而成,各保留字段間用分號分隔�。
保留字段中的“類型”代表信息產(chǎn)生的源頭,可以是:
kern 由kernel產(chǎn)生的信息�����;
user 由用戶進程產(chǎn)生的信息����。對那些由程序或不在此列出的工具產(chǎn)生的信息,其缺省類型都是“user”;
mail 郵件系統(tǒng)產(chǎn)生的信息����;
daemon 系統(tǒng)守護進程的信息,如ftpd��、telnetd��;
auth 由login, su, getty等進行身份認證時產(chǎn)生的信息����;
syslog 由syslogd自己內(nèi)部產(chǎn)生的信息;
lpr 行打印spooling系統(tǒng)的信息����;
news USENET 網(wǎng)絡(luò)新聞系統(tǒng)的信息;
uucp UUCP系統(tǒng)信息����;
cron cron和at工具信息;
local0-7 保留為local使用�;
mark syslogd內(nèi)部產(chǎn)生的時間戳信息;
* 除mark之外的所有其它類型(此符號不可用以代表所有級別)�。
保留字段中的“級別”代表信息的重要性,可以是:
emerg 緊急�,處于Panic狀態(tài)。通常應(yīng)廣播到所有用戶��;
alert 告警�����,當前狀態(tài)必須立即進行糾正�����。例如����,系統(tǒng)數(shù)據(jù)庫崩潰;
crit 關(guān)鍵狀態(tài)的警告��。例如,硬件故障�����;
err 其它錯誤���;
warning 警告����;
notice 注意�;非錯誤狀態(tài)的報告,但應(yīng)特別處理�;
info 通報信息;
debug 調(diào)試程序時的信息����;
none 通常調(diào)試程序時用,指示帶有none級別的類型產(chǎn)生的信息無需送出����。如*.debug;mail.none表示調(diào)試時除郵件信息外其它信息都送出。
“動作”域指示信息發(fā)送的目的地�����。可以是:
/filename 日志文件�。由絕對路徑指出的文件名����,此文件必須事先建立;
@host 遠程主機����;
user1, user2 指定用戶。如果指定用戶已登錄���,那么他們將收到信息�;
* 所有用戶����。所有已登錄的用戶都將收到信息。
syslog 由以下三部份組成:
syslogd - 負責(zé)執(zhí)行記錄的 daemon
logger - 讓使用者傳送訊息給 syslogd 的指令
log libraries - 提供程式設(shè)計師傳送訊息給 syslogd
使用 logger 傳送測試用訊息給 syslogd 可用來確定syslog.conf是否正確
例如���,在 syslog.conf 設(shè)定了
Local1.warn /tmp/test.log
可以用以下指令測試
#logger –p Local1.warn “Test Message”
將要進行l(wèi)ogrotate的紀錄檔名加入logrotate.d
實例:
cat /etc/logrotate.d
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron {
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}
設(shè)定logrotate.conf(可設(shè)定預(yù)設(shè)值)��,例如:
# cat /etc/syslog.conf
-----syslog.conf配置處理規(guī)則------logrotate.d對服務(wù)日志做輪循設(shè)定
本文來自ChinaUnix博客�,如果查看原文請點:http://blog.chinaunix.net/u1/39332/showart_1200101.html |
|
免費注冊
發(fā)表于 2008-09-17 13:50