- 論壇徽章:
- 1
|
關于Solaris的syslog機制
syslog機制負責發(fā)送、記錄系統(tǒng)內(nèi)核及工具所產(chǎn)生的信息�����,由syslog()調(diào)用�����、syslogd守護進程和配置文件/etc/syslog.conf組成����。當系統(tǒng)內(nèi)核及工具產(chǎn)生信息時�����,通過調(diào)用syslog()��,把信息送往syslogd,syslogd再根據(jù)/etc/syslog.conf中的配置要求�����,將這些信息分別作如下處理:
1.記錄到系統(tǒng)日志中���;
2.輸出到系統(tǒng)控制臺上�����;
3.轉(zhuǎn)發(fā)給指定的用戶;
4.通過網(wǎng)絡轉(zhuǎn)發(fā)給其它主機上的syslogd�。
通過syslog.conf的配置,我們可以靈活地對信息的發(fā)送和保存進行控制�。
syslogd進程在系統(tǒng)啟動時由/etc/rc2.d/S74syslog啟動。如果需要手工啟動或停止syslogd��,可以使用命令:
# /etc/init.d/syslog start | stop
/etc/syslog.conf文件中的一項配置記錄由“選項”(selector)和“動作”(action)兩個部分組成�����,兩者間用tab制表符進行分隔�。而“選項”又由一個或多個形如“類型.級別”格式的保留字段組合而成,各保留字段間用分號分隔�。
保留字段中的“類型”代表信息產(chǎn)生的源頭�,可以是:
kern 由kernel產(chǎn)生的信息��;
user 由用戶進程產(chǎn)生的信息�����。對那些由程序或不在此列出的工具產(chǎn)生的信息��,其缺省類型都是“user”;
mail 郵件系統(tǒng)產(chǎn)生的信息;
daemon 系統(tǒng)守護進程的信息����,如in.ftpd����、telnetd;
auth 由login, su, getty等進行身份認證時產(chǎn)生的信息����;
syslog 由syslogd自己內(nèi)部產(chǎn)生的信息;
lpr 行打印spooling系統(tǒng)的信息�����;
news USENET 網(wǎng)絡新聞系統(tǒng)的信息;
uucp UUCP系統(tǒng)信息�����;
cron cron和at工具信息�����;
local0-7 保留為local使用��;
mark syslogd內(nèi)部產(chǎn)生的時間戳信息;
* 除mark之外的所有其它類型(此符號不可用以代表所有級別)����。
保留字段中的“級別”代表信息的重要性�����,可以是:
emerg 緊急,處于Panic狀態(tài)���。通常應廣播到所有用戶����;
alert 告警���,當前狀態(tài)必須立即進行糾正。例如��,系統(tǒng)數(shù)據(jù)庫崩潰�����;
crit 關鍵狀態(tài)的警告。例如�����,硬件故障�����;
err 其它錯誤����;
warning 警告;
notice 注意�����;非錯誤狀態(tài)的報告���,但應特別處理;
info 通報信息���;
debug 調(diào)試程序時的信息����;
none 通常調(diào)試程序時用,指示帶有none級別的類型產(chǎn)生的信息無需送出�。如*.debug;mail.none表示調(diào)試時除郵件信息外其它信息都送出。
“動作”域指示信息發(fā)送的目的地������?梢允牵
/filename 日志文件。由絕對路徑指出的文件名�����,此文件必須事先建立���;
@host 遠程主機����;
user1, user2 指定用戶���。如果指定用戶已登錄���,那么他們將收到信息;
* 所有用戶���。所有已登錄的用戶都將收到信息���。
我們來看看/etc/syslog.conf文件中的實例:
……
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages
……
這行中的“action”就是我們常關心的那個/var/adm/messages文件,輸出到它的信息源頭“selector”是:
*.err - 所有的一般錯誤信息���;
kern.debug - 核心產(chǎn)生的調(diào)試信息�����;
daemon.notice - 守護進程的注意信息��;
mail.crit - 郵件系統(tǒng)的關鍵警告信息
于是我們對/var/adm/messages中的東東怎么來的大致清楚一點了�����。再看下面(不理會那個注釋符號“#”):
……
# if a non-loghost machine chooses to have authentication messages
# sent to the loghost machine, un-comment out the following line:
#auth.notice ifdef(‘LOGHOST’, /var/log/authlog, @loghost)
……
這里涉及Solaris下的loghost和m4宏解釋器���。loghost好理解�����,就是在局域網(wǎng)內(nèi)多臺SUN機器中指定一臺作為loghost��,大家的syslogd有水就都往它上面灌���。具體誰是loghost在/etc/hosts中定義:
……
192.168.1.11 host1 loghost
192.168.1.22 host2
……
m4負責解釋ifdef,它的事跡這里就不去深究了(要考SA的兄弟姐妹們可要去看啊���,有題的),反正上面那個ifdef的意思就是:如果本機是loghost��,那么信息送到/var/log/authlog中����,否則送到@后的主機上。
下面作為一個示例�,看看如何使用syslog機制來對telnet登錄進行記錄。
Telnet和ftp等許多網(wǎng)絡服務是通過inetd來提供的�。因此先檢查一下inetd使用了什么類型和級別的syslog調(diào)用:
# man inetd
……
-t Instructs inetd to trace the incoming
connections for all of its TCP services. It does this by
logging the client’s IP address and TCP port number,
along with the name of the service, using the syslog(3)
facility. UDP services can not be traced. When tracing is
enabled, inetd uses the syslog facility code ``daemon’’
and ``notice’’ priority level.
……
就是說,啟動帶-t選項的inetd���,它才會調(diào)用syslog來記錄TCP服務的細節(jié)�����,類型是daemon����,級別是notice。于是先修改inetd的啟動腳本/etc/init.d/inetsvc����,找到inetd那行,改為:
/usr/sbin/inetd -s -t &
前面看到����,daemon.notice已經(jīng)包括在syslog.conf中,action是/var/adm/messages���。如果action不想變���,那么就不用做修改了。
重啟一下syslogd:
# /etc/init.d/syslog stop
# /etc/init.d/syslog start
重啟一下inetd:
# /etc/init.d/inetsvc stop
# /etc/init.d/inetsvc start
試驗一下結果�。開一個窗口監(jiān)視有沒有新的message來:
# tail -f /var/adm/messages
從另一臺機器上telnet或ftp上來。上面的監(jiān)視窗口中應該有輸出(^C 終止監(jiān)視):
……
Jun 18 12:08:42 host1 inetd[755]: [ID 317013 daemon.notice] ftp[759] from 192.168.1.88 1082
Jun 18 12:09:13 host1 inetd[755]: [ID 317013 daemon.notice] telnet[760] from 192.168.1.88 1083
Jun 18 12:11:22 host1 inetd[755]: [ID 317013 daemon.notice] ftp[771] from 192.168.1.88 1084
對軟件開發(fā)者來說���,可以參考關于syslog()的有關資料���,將你的軟件中的信息進行適當?shù)膕yslog()調(diào)用�,以輸出到所希望的地方���。 |
|
免費注冊
發(fā)表于 2004-06-18 16:37
