3.9. Журналирование системных событий

Неотъемлемой частью контроля и мониторинга работы ОС Linux и всех ее сервисов является журналирование событий. Все утилиты создают журнальные данные, которые регистрируются в системе. Журналирование событий позволяет выявить причины сбоя в работе различных команд и демонов. В ОС Linux существует несколько утилит, позволяющих выполнять мониторинг активности системы.
В ОС Linux по умолчанию присутствуют два демона журналирования: klogd и syslogd. Демон klogd журналирует события и сообщения ядра ОС Linux. Демон syslogd используется для журналирования событий всех остальных процессов и сервисов. Демон syslogd позволяет не только журналировать события процессов, происходящих на локальном хосте, но также позволяет записывать события с удаленных хостов на один определенный хост, выступающий в роли хранилища журнальных файлов. Оба демона автоматически запускаются в процессе загрузки ОС Linux. После того, как демоны начали функционировать в фоновом режиме, демон syslogd считывает конфигурационный файл /etc/syslog.conf для определения типа событий, которые необходимо журналировать, а также уровня их детализации.
Каждая строка файла syslog.conf содержит записи вида:

средство.уровень              действие

Средством является программа, посылающая журнальные сообщения, и уровень важности данных сообщений процессу syslogd. Названия средств и уровней важности следует выбирать из стандартного списка значений; программы не могут самостоятельно сформировать такие списки. Есть средства, определенные для ядра, для основных системных утилит и для локальных программ. Все остальное проходит под общим названием "user (пользователь). Выражение средство.уровень является по сути фильтром, который определяет какие события следует журналировать и в какой файл их необходимо журналировать.
По умолчанию, все журнальные файлы ОС Linux располагаются в каталоге /var/log, поэтому рекомендуется размещать данный каталог как отдельную файловую систему с высокой производительностью записи.
Фильтры могут содержать ключевые слова * и попе, которые обозначают соответственно «все» и «ничего». В фильтре разрешается через запятые перечислять группу средств. Допускается также разделение самих фильтров с помощью точки с запятой. В общем случае фильтры объединяются методом логического сложения, т.е. указанное действие будет выполняться для сообщения, соответствующего любому из фильтров. Фильтр уровня попе означает исключение перечисленных в нем средств независимо от того, что указано в остальных фильтрах этой же строки.

Таблица 3.16. Уровни важности syslog.

Например, предположим, что в файле syslog.conf задана следующая строка:
*.infо;mail.none;news.none;authpriv.none;сron.none /var/log/messages
В данной строке осуществляется посылка сообщений, удовлетворяющих указанным фильтрам, в файл /var/log/messages, а именно:

• Посылка всех сообщений, имеющих уровень важности info и выше;
• Отмена посылки всех событий для средств mail, news, authpriv и con.

В файле syslog.conf уровни обозначают минимальную важность, которую сообщение должно иметь для того, чтобы быть зарегистрированным. Например, сообщение почтовой системы, имеющее уровень важности warning, будет соответствовать фильтру mail.warning, а также фильтрам mail.info, mail.notice, mail.debug, * .warning, *.notice, *.info и *.debug. В ОС Linux возможно ограничивать посылку сообщений только определенных уровней. Для этого используются специальные символы «=» и «!», обозначающие «только данный уровень» и «кроме данного и более высоких уровней».

Примеры использования ограничений посылки событий.

Действия syslog.

Журналирование событий осуществляется в регулярные файлы. При необходимости, перед файлом можно указать знак «-», для того чтобы не использовать синхронизацию данных в файле после каждой посылки событий. Это может немного повысить производительность в случае, если приложение использует очень детализированный уровень важности.