9.5. syslog Events de sistema

9.5. `syslog` Events de sistema

9.5.1. Principis i mecanisme

El dimoni rsyslogd és responsable de la recollida de missatges de servei procedents de les aplicacions i del nucli, i després distribuir-los en arxius de registre (normalment ubicats al directori /var/log/). Obeeix al fitxer de configuració /etc/rsyslog.conf.

Cada missatge de registre s'associa amb un subsistema d'aplicació (anomenat «facility» a la documentació):

auth i authpriv: per a autenticació;
cron: prové dels serveis de programació de tasques, cron i atd;
daemon: afecta un dimoni sense classificació especial (DNS, NTP, etc.);
ftp: referent al servidor FTP;
kern: missatge originat al nucli;
lpr:prové del subsistema d'impressió;
mail: ve del subsistema de correu electrònic;
news: missatge del subsistema Usenet (especialment d'un servidor NNTP — Network News Transfer Protocol — servidor que gestiona grups de notícies);
syslog: missatges del propi servidor syslogd;
user: missatges d'usuari (genèrics);
uucp: missatges del servidor UUCP (Unix to Unix Copy Program, un antic protocol utilitzat per distribuir missatges de correu electrònic);
local0 a local7: reservats per a ús local.

Cada missatge també està associat amb un nivell de prioritat. Aquesta és la llista en ordre decreixent:

emerg: “Ajuda!” Hi ha una emergència, el sistema probablement és inusable.
alerta: afanyeu-vos, qualsevol retard pot ser perillós, s'han d'adoptar mesures immediatament;
crit: les condicions són crítiques;
err: error;
warn: advertència (error potencial);
notice: les condicions són normals, però el missatge és important;
info: missatge informatiu;
debug: missatge de depuració.

9.5.2. El fitxer de configuració

The syntax of the /etc/rsyslog.conf file is detailed in the rsyslog.conf(5) manual page, but there is also HTML documentation available in the rsyslog-doc package (/usr/share/doc/rsyslog-doc/html/index.html). The overall principle is to write “selector” and “action” pairs. The selector defines all relevant messages, and the action describes how to deal with them.

9.5.2.1. Sintaxi del selector

El selector és una llista separada per punts i coma de parells subsistema.prioritat (exemple: auth.notice;mail.info). Un asterisc pot representar tots els subsistemes o totes les prioritats (exemples: *.alert o mail.*). Es poden agrupar diversos subsistemes, separant-los amb una coma (exemple: auth,mail.info). La prioritat indicada també cobreix els missatges de prioritat igual o superior; per tant auth.alert indica el subsistema missatges auth de prioritat alert o emerg. Si va prefixat amb un símbol d'exclamació (!) indica el contrari o, en altres paraules, les prioritats estrictament inferiors; auth.!notice, per tant, indica els missatges emesos des d'auth, amb prioritats info o debug. Si va prefixat amb un signe d'igual (=), correspon exactament i només a la prioritat indicada (auth.=notice només es refereix als missatges d'auth amb prioritat notice).

Cada element de la llista del selector substitueix els elements anteriors. Per tant, és possible restringir un conjunt o excloure determinats elements d'aquest. Per exemple, kern.info;kern.!err significa missatges del nucli amb prioritat entre info i warn. La prioritat none indica el conjunt buit (sense prioritats), i pot servir per excloure un subsistema d'un conjunt de missatges. Així, *.crit;kern.none indica tots els missatges de prioritat igual o superior a crit no provinents del nucli.

9.5.2.2. Sintaxi de les accions

TORNAR A LES BASES La canonada («pipe») amb nom, una canonada persistent

Una “canonada amb nom” és un tipus particular de fitxer que funciona com una canonada tradicional (la canonada que es fa amb el símbol “|” a la línia d'ordres), però a través d'un fitxer. Aquest mecanisme té l'avantatge de poder relacionar dos processos no relacionats. Qualsevol cosa escrita en una canonada amb nom bloqueja el procés que escriu fins que un altre procés intenta llegir les dades escrites. Aquest segon procés llegeix les dades escrites pel primer, que després pot reprendre l'execució.

Aquesta mena de fitxer es crea amb l'ordre mkfifo.

Les diferents accions possibles són:

afegir el missatge a un fitxer (exemple: /var/log/messages);
enviar el missatge a un servidor syslog remot (exemple: @log.falcot.com);
enviar el missatge a una canonada amb nom ja existent (exemple: |/dev/xconsole);
enviar el missatge a un o més usuaris, si estan connectats (exemple: root,rhertzog);
enviar el missatge a tots els usuaris connectats (exemple: *);
escriure el missatge en una consola de text (exemple: /dev/tty8).

SEGURETAT Reenviament de registres

És una bona idea desar els registres més importants en una màquina separada (potser dedicada a aquest propòsit), ja que això evitarà que qualsevol possible intrús elimini rastres de la seva incursió (a menys, per descomptat, també comprometi aquest altre servidor). A més, en cas d'un problema important (com una fallada del nucli), hi ha els registres disponibles en una altra màquina, la qual cosa augmenta les possibilitats de determinar la seqüència d'esdeveniments que van causar la fallada.

Per acceptar els missatges de registre enviats per altres màquines, cal reconfigurar rsyslog: a la pràctica, n'hi ha prou amb activar les entrades a punt per a usar de /etc/rsyslog.conf ($ModLoad imudp i $UDPServerRun 514).