Управление syslog

Заставьте syslog работать больше и вы будете тратить меньше времени на просмотр огромных файлов протоколов. Стандартная установка syslog в большинстве дистрибутивов не очень удачно фильтрует в отдельные файлы информацию различных классов. Если в /var/log/ messages представлено великое множество всяких сообщений от Sendmail, sudo, BIND и других системных служб, то вам, вероятно, надо пересмотреть файл /etc/syslog.conf. Существует ряд критериев и приоритетов, по которым syslog может выполнять фильтрацию. В качестве критериев (facilities) могут выступать: auth, auth-priv, cron, daemon, kern, lpr, mail, news, syslog, user, uucp.

Каждый критерий может иметь один из восьми приоритетов (priorities): debug, info, notice, warning^ err, crit, alert и emerg. Обратите внимание: приложения самостоятельно принимают решение о том, в ка- кой критерий и с каким приоритетом необходимо фиксировать событие (лучше, когда возможность сделать это они предоставляют вам), поэтому они могут выполнить протоколирование не так, как ожидалось.

На заметку: Если Вас интересует такая услуга как создание сайтов, тогда рекомендуем обратить внимание на интерне-ресурс http://web-fabryka.ru/.

Вот пример /etc/syslog.conf, который пытается «перетасовать» места протоколирования:

auth.warning /var/log/auth

mail.err /var/log/maillog

kern,* /var/log/kernel

cron.crit /var/log/cron

*.err;mail.none /var/log/syslog

*.info;auth.none:mail.none • /var/log/messages

#*.=debug /var/log/debug

localO.info /var/log/cluster

local 1.err /var/log/spamerica

Все строки в этом примере будут протоколировать указанный (или выше) приоритет в соответствующий файл. Специальный приоритет попе заставляет syslog вообще не учитывать указанный критерий. Критерии с localO no 1оса17 предназначены для использования вашими собственными программами, однако они также могут оказаться полезными. Например, файл /var/log/spamerica заполняется сообщениями locaM.err (или выше), генерируемыми в ходе обработки спама. Очень здорово хранить эти сообщения отдельно от стандартного протокола доставки почты (в /var/log/maillog). Строка, помеченная как комментарий (*.=debug), полезна для отладки служб, выполняемых демоном. Она заставляет syslog более точно протоколировать лишь сообщения с приоритетом debug для любого критерия и обычно не должна запускаться (если только вы не желаете заполнить диски протоколами отладки).

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *