2014IT鐵人賽-25-syslog
今天練習log的管理吧
筆記部份:
當事件發生時, 最重要的是取得充足的資訊, 所以如何觀察系統的資訊以及管理system log也是一個重要的課題, 今天就來進行相關的練習吧.
如何取得開機的相關訊息呢?
#dmesg | grep 關鍵字 觀察相關訊息
有關 log 的儲存位置
系統內大部分的log皆存放於 /var/log 目錄
Log Server
常見的套件有 syslog 以及 syslog-ng , 今天要介紹的是 syslog-ng
套件: syslog-ng
相關設定檔:
- /etc/syslog-ng/syslog-ng.conf
- /etc/syslog-ng/syslog-ng.conf.in
- /etc/sysconfig/syslog
如果要更換 log 管理的套件
可以藉由修改 /etc/sysconfig/syslog 內的
- SYSLOG_DAEMON="syslog-ng" 來指定要使用syslog-ng 還是傳統的syslogd
log 的傳遞分為兩個部份
Facilities 從哪一個服務或是設備傳來
Priorities log level, 優先性
log 的優先等級
Priorities
- debug
- info
- notice
- warning
- err
- crit
- alert
- emerg/panic
有關於 log 的封存, 我們可以藉由 log rotate 來達成
**logrotate**
/etc/logrotate.conf log封存的設定檔(Global)
- weekly 每週封存
- rotate 4 保留4份
- create 封存完建立空檔
- include /etc/logrotate.d/ 相關要封存的log 設定存放目錄
開始練習吧
Lab: 取得系統資訊
#dmesg | more <觀察開機資訊>
#uname -r <觀察 kernel 版本>
#chkconfig --list <觀察系統服務>
#cat /etc/*release <觀察系統版本資訊>
#uptime <觀察系統loading>
#lscpu <觀察 CPU 資訊>
#netstat -tupln <觀察 network port>
Lab: Syslog-ng
目的: 指定pure-ftpd的記錄檔存檔路徑
#netstat -tupln | grep :21 <觀察port 21有沒有服務>
#grep -i syslog /etc/pure-ftpd/pure-ftpd.conf <觀察Facility為ftp>
SyslogFacility ftp
#rcpure-ftpd start <啟動pure-ftpd 服務>
#netstat -tupln | grep :21 <觀察port 21有沒有服務>
#ftp 127.0.0.1 <請嘗試以ftp登入, 輸入bye -->離開>
#tail /var/log/messages <請觀察資訊>
修改syslog-ng的設定, 新增以下設定
#vi /etc/syslog-ng/syslog-ng.conf
filter f_ftp { level(debug .. emerg) and facility(ftp); }; <指定Facility及Priorities>
destination ftpall { file("/var/log/ftpmesg"); }; <指定log檔的位置>
log { source(src); filter(f_ftp); destination(ftpall); };
#rcsyslog restart <重新啟動syslog服務>
#ftp 127.0.0.1 <請嘗試以以ftp登入, 輸入bye -->離開>
#ls /var/log <請觀察資訊>
#cat /var/log/ftpmesg <請觀察資訊>
Lab: logrotate
目的: 備份pure-ftpd 的紀錄檔
要求如下
1.每天備份一次
2.紀錄檔要壓縮
3備份上限5份,封存完建立空檔案
#vi /etc/logrotate.d/ftp
/var/log/ftpmesg{
daily
compress
rotate 5
create
postrotate
/etc/init.d/syslog reload
endscript
}
#ls /var/log <請觀察資訊>
#logrotate -f /etc/logrotate.d/ftp <強制作logrotate動作>
#ls /var/log <請觀察資訊>
optional Lab: Log Server
Server :
加入以下設定 允許 UDP 514 port 傳送log
#vi /etc/syslog-ng/syslog-ng.conf
source s_udp { udp( ip("0.0.0.0") port(514) ); };
destination s_udp { file("/var/log/from_net"); };
log { source(s_udp); destination(s_udp); };
#rcsyslog restart <重新啟動syslog服務>
Client:
修改設定檔, 將log 傳到 log server
#vi /etc/syslog-ng/syslog-ng.conf
destination logserver { udp("伺服器IP" port(514)); };
log { source(src); destination(logserver); };
#rcsyslog restart <重新啟動syslog服務>
測試
Server:
#ls /var/log <請觀察資訊>
Client:
#rcsyslog restart <重新啟動syslog服務>
Server:
#ls /var/log <請觀察資訊>
Fun with Day 25 ~
沒有留言:
張貼留言