1、Unix/Linux的系统日志syslog Unix类操作系统提供了系统范围的日志服务支持syslog,Syslog是系统内部的“探针”,是负责记录大部分系統事件(event)的一个后台程序,记录包括核心、系統程许及使用者自行开发程序的运行情况及及所发生的事件。可以说,syslog是能够最精确、最可靠、最及时反映主机系统运行情况的机制和数据。 由于syslog的特点(实时、海量、复杂、重要)和处理的技术原因,Unix系统的syslog一直都没有有效的利用和发掘。Unix/Linux的系统日志syslog Unix/Linux系统的分类 System V和BSD风格两种 目前的大多数商业系统是两
2、者的混合体 Syslog的机制的思想和实现来源于BSD系统,后被System V所采用。 Syslog是Internet协议族的一员,RFC3164 使用UDP/514进行通讯 使用syslogd后台进程,syslogd启动时读配置文件/etc/syslog.conf 配置文件改变后要使其生效需要重新启动syslogSyslogd的内部机制,三种情况syslogdInternet socket/etc/servicesDomain socket/dev/logSpecial device/dev/klogsyslogdklogdmodulesUnix/Linux的系统日志syslogsyslo
3、g.conf的每一行(#开头的为注释,将被忽略)由“选择符 动作”组成(selector action)。syslog.conf的一般格式如下: facility.priority; facility.priorityaction 即:设施.优先级;设施.优先级 记录行为设施和优先级的名字都是系统提供的标准名字 可以用*表示任何设施(句点前的*)或任何优先级(句点后的*) 指定一个优先级的意思为大于等于该优先级的日志消息 用none表示不包括任何优先级。 Linux对bsd的syslog做了一些扩展,引入了=和!。在任何一个优先级前用=,表示仅针对该优先级而不包括大于它的优先级。!表示求反,可
4、以放在优先级或=前面(如果有的话),表示和原来相反的意思。 具有相同优先级的几个设施可以一起写在句点前面,用,分开。具有相同动作的多个选择符可以写在同一行的选择符域,各个选择符之间用;分开。Unix/Linux的系统日志syslogSyslog反映Unix/Linux子系统8级信息分类:优先级对应的数字越低情况越严重 诊断DEBUG, 用于调试,程序,产品设备7DEBUG信息INFO,有用的信息 6INFO提示NOTICE,普通但重要的事件 5NOTICE警告WARNING任何报警,警告事件4WARNING错误ERR任何错误的东西,错误事件3ERR致命错误CRIT,设备发生了关键性问题情况,包
5、括进程CRASH,OVERFLOW2CRIT警报ALERT,任何需要立即注意的发生情况1ALERT应急EMERY,任何紧急情况,包括系统PANIC。0EMERGUnix/Linux的系统日志syslog syslog.conf 的选择符示例 local0.* local0的任何优先级的日志消息 *.crit任何设施的优先级大于等于关键事件的日志消息 *.=crit 任何设施的关键事件日志消息 *.*;kern.none 除kern外的其他任何设施的任何日志消息 kern.info;kern.!=err kern设施从info到warning之间的日志消息 syslog.conf 具体示例Uni
6、x/Linux的系统日志syslog Syslogd提供了如下的记录动作 (action)。 文件名 写入某个文件,注意文件名要带绝对路径。 命名管道(fifo), |程序 通过管道转发给某个程序,程序文件名要带绝对路径。 /dev/console 发送到本地机器终端和控制台上 hostname 或 IP地址 转发给另外一台远程主机的syslogd程序 用户列表 * 发送到所有用户的终端上 Syslog反映的Unix/Linux事件举例 Unix/Linux系统内核产生的0-7级,以及相关的硬件问题 Unix/Linux网络部分产生的0-7级 Unix/Linux的安全模块部分,如iptabl
7、e,access control Unix/Linux的高可用性部分产生的0-7级 Unix/Linux的“设备”及其设备驱动程序的0-7级 Unix/Linux的各类系统daemon产生的0-7级,如SNMP模块 Unix/Linux的系统服务模块,如WWW,DNS,MAIL. Unix/Linux的第三方和应用系统,如tripwire, snort,checkpoint,. Unix/Linux的系统管理过程中产生的syslog Unix/Linux的用户开发程序使用syslog API 产生的日志Syslog反映的Unix/Linux事件举例 安全方面,主机系统安全评估、主机管理、入侵跟
8、踪和取证 主机和存储、高可用系统的故障诊断,分析,定位,长期跟踪系统的运行情况,将定期的主机系统健康检查,变成实时的跟踪和观察,并可以定制警报,在条件满足时通过多种方式通知系统管理员,无论管理员在哪里。 系统管理,如登陆、文件系统满、系统重新/意外启动、文件系统unmout/mount,主机的访问,设备的增加减少,系统核心参数的改变,核心的配置不合理等等,可以说保罗万象Syslog反映的Unix/Linux事件举例 硬件方面 (CPU, Raid Controllers, Memory) 磁盘阵列控制器配置的改变可影响磁盘读取操作的响应时间 內存奇偶校验的失败可导致操作系统崩溃 CPU 风扇不
9、能正常工作导致高温会使CPU间歇性重启 操作系统方面 (Device Drivers, Memory Allocation, Disk Access Manager) 设备驱动程序的内存泄漏可导致“脏”的或不可用的内存块,影响内存分配和使用率 磁盘碎片影响逻辑磁盘的存取时间,不能有效对应用程序进行置换 低质量的多线程应用导致 CPU 使用率太高Syslog反映的Unix/Linux事件举例 HP MC/ServiceGuard的进程,共有八个守候进程与 ServiceGuard 有关 /usr/lbin/cmlogdServiceGuard 系统日志记录守候进程,将HP双机系统工作的日志、故障
10、警报日志通过syslog记录 其它的Unix/Linux,无论是否通过硬件实现双机结构,都通过syslog记录发生的事件Syslog反映的Unix/Linux事件举例 Unix/Linux核心和硬件 核心,以System V风格的Unix系统为例,64个左右的系统调用和实现构成的集合就是核心的主体 64个系统调用,大约产生的核心方面的问题有64*8(0-7)类! 通过系统调用,就是核心同计算机硬件沟通 每个系统调用,system_call都会产生syslog信息,特别是有系统故障和报警时候,如系统资源方面的问题。 所有的程序都需要system_call 存取权限错误。记帐程序,如用户登陆、系统
11、使用文件系统的多少等都会通过syslog反映,如使用su,login,logout等Syslog反映的Unix/Linux事件举例 系统调用fork产生syslog举例 进程创建失败,无论逻辑和物理方面的原因 系统调用mount/unmount失败 系统调用read/write/open的任何问题 文件系统引导块故障警报 文件系统超级块故障警报 文件系统索引节点问题 IPC进程间通讯问题 系统核心被编译,系统被重新启动及其启动时的问题Syslog反映的Unix/Linux事件举例 系统交换区问题,如改变,交换区资源耗尽 系统使用异步I/O时产生的任何问题 进程意外中止,进程死锁,进程改变优先级
12、 文件系统检查时的任何问题 进程被睡眠时的任何问题,包括无法唤醒 系统数据缓存和高速缓存问题,包括锁故障 系统管道故障方面的问题 分配磁盘块方面的问题 释放索引节点方面问题 文件系统数据块的改变,如大小Syslog反映的Unix/Linux事件举例 文件系统指派新索引节点问题 系统软中断和硬中断的问题 程序核心态和用户态转换方面的问题 字符设备故障问题,如终端等等 块设备故障问题,如磁带机,磁盘等等 Make/cc/link等编译器问题 Link死锁,文件系统一致性方面问题 系统调用过程问题 进程上下文切换问题 文件系统和文件备份,如cpio, dd, dump, tar等问题Syslog反映
13、的Unix/Linux事件举例 地址空间意外错误,如溢出,伸缩,重叠等进程地址空间管理问题 进程优先级意外错误方面问题 父进程和子进程共享文件处理的问题 软中断信号处理错误问题,如调度,用户态和核心态转换,内存紧张不足等 系统捕获软中断信号方面的问题,信号丢失,阻断等 Setuid/setgid方面的问题 系统shell出错问题 系统init自举时的意外,gettty的意外,进程wait/nowait意外 重要文件的意外改变如/etc/inittab,导致系统引导问题 进程换入换出意外Syslog反映的Unix/Linux事件举例 系统请求调页错误,如系统调用exec 偷页进程(page st
14、ealer)意外问题和页面错误 系统信号量方面的问题 打印系统方面问题,包括带syslog功能的打印机 任何写在/etc/services中的服务程序,包括用户自己开发的程序 需要配置/etc/inetd.conf, /etc/protocol,/etc/services 记录telnet, ftp,ssh,.的日志,包括8个级别 配置参考文档,需要重新启动inetd这个超级服务程序 记录任何基于网络的服务连接情况日志 增强的inetd, xinetd加强了日志的功能,并整合到unix/linux系统中,并代替inetdSyslog反映的Unix/Linux事件举例 Scsi ,RAID子系统
15、方面的故障信息,如scsi cable问题 任何“设备文件”的故障信息,如/dev/klog, /etc/tty 任何后台进程的意外情况,如inetd本身 通过snmpd daemon产生的系统性能方面的信息和故障Syslog反映的Unix/Linux事件举例 Telnet的session信息,问题等 Ftp的session信息,问题 Ssh的session信息,问题 Dns方面的工作和故障问题,如/etc/named, bind Nfs工具和相应的网络文件系统的问题 Ldap服务方面的问题 邮件服务器,如sendmail, qmail等的交易日志,故障等 Web服务器,如apache, to
16、mcat等的交易日志,故障 Syslogd本身的日志Syslog反映的Unix/Linux事件举例 Tripwire产生的工作和故障,反映系统文件的变动 CA access control核心防护软件产生的信息 Unix防病毒软件产生的日志 代理服务器,如squid产生的交易和故障 TCP Wrapper工具产生的日志,通过tcpd Snort IDS软件产生的syslog 数据库的后台进程和各类中间件(依赖于具体情况) 任何软件升级(包括OS),补丁,安装,卸载的情况,补丁引起的各种问题 硬件的改变,增加、减少Unix/Linux的系统日志syslog 不是所有的日志都有syslogd记录
17、与syslog无关的系统记录:wtmp、utmp、lastlog、pacct等,系统核心记录了一些与使用者帐号存取有关的信息。 应用程序运行日志, 如Apache Server的access.log及error.log等。网络设备的syslog配置 Cisco设备syslog配置操作 device#conf t device(config)#logging on device(config)#logging a.b.c.d /日志服务器的IP地址 device(config)#logging facility local1 /facility标识, RFC3164 规定的本地设备标识为 loc
18、al0 - local7 device(config)#logging source-interface e0 /日志发出用的源IP地址 device(config)#service timestamps log datetime localtime /日志记录的时间戳设置,可根据需要具体配置 device#sh logging /检查配置网络设备的syslog配置 华为设备syslog配置操作 【命令】undo info-center loghost loghost-number ip-address port local0 | | local7 English | Chinese emer
19、gencies | alerts | critical | errors | warnings |notifications | informational | debugging filter facility1 facility2 【参数】 loghost-number:指示选择一台Unix 主机,取值范围为09。ip-address:指定Unix 主机的IP 地址,为点分十进制形式。port:端口号,取值范围165535,缺省值是514。local0local7:指定Unix 本地应用。缺省的本地应用名称为local7。English | Chinese:使用英文或中文作为输出缓冲区日志信息的显示语言。缺省输出到缓冲区日志信息的显示语言为English。 facility1 facility2 :打开相应过滤模块信息的开关。输出到缓冲区日志信息缺省为不按模块过滤信息。【举例】 使用ip 地址为10.110.200.200 的计算机作为日志主机,并打开向其输出日志信息的开关。Quidway info-center loghost 0 10.110.200.200 620 errors