Аннотация
Описание базовой архитектуры системы протоколирования, используемой в Red Hat Enterprise Linux для регистрации событий
Интерпретация событий в файлах syslog для устранения проблем или просмотра состояния системы
Поиск и интерпретация записей в системном журнале для устранения проблем или просмотра состояния системы
Настройка системного журнала для сохранения записей событий при перезагрузке сервера
Поддержание точной синхронизации времени с помощью NTP и настройка часового пояса, чтобы обеспечить правильные метки времени для событий, зарегистрированных системным журналом и log-файлами
Описание архитектуры системных log-файлов (и тест)
Просмотр файлов syslog (и упражнение)
Просмотр записей системного журнала (и упражнение)
Сохранение системного журнала (и упражнение)
Поддержание точного времени (и упражнение)
Анализ и сохранение log-файлов
После завершения этого раздела вы сможете описать базовую архитектуру системы протоколирования, используемую в Red Hat Enterprise Linux для регистрации событий.
Процессы и ядро операционной системы регистрируют происходящие события в log-файлах. Log-файлы используются для аудита системы и устранения проблем.
Многие системы регистрируют события в текстовые файлы, которые хранятся в каталоге /var/log. Эти log-файлы можно просматривать с помощью обычных текстовых утилит, таких как less и tail.
/var/log
В Red Hat Enterprise Linux встроена стандартная система протоколирования, основанная на Syslog. Многие программы используют эту систему для регистрации событий и распределения их по log-файлам. Службы systemd-journald и rsyslog обрабатывают сообщения syslog в Red Hat Enterprise Linux 8.
systemd-journald
rsyslog
Служба systemd-journald находится в центре архитектуры регистрации событий операционной системы. Она собирает сообщения о событиях из различных источников, таких как ядро, выходные данные с ранних этапов процесса начальной загрузки системы, стандартный поток вывода и стандартный поток ошибок от демонов при их запуске и выполнении, а также события syslog. Затем она преобразует их в стандартный формат и записывает в структурированный и индексированный системный журнал. По умолчанию этот журнал хранится в файловой системе, которая не сохраняется при перезагрузке.
Однако служба rsyslog читает сообщения syslog, полученные службой systemd-journald из журнала по мере их поступления. Затем она обрабатывает события syslog, записывая их в свои log-файлы или направляя другим службам в соответствии с собственной конфигурацией.
Служба rsyslog сортирует сообщения syslog и записывает их в log-файлы в каталоге /var/log, которые сохраняются даже после перезагрузки. Служба rsyslog сортирует сообщения по log-файлам на основе типа программы, отправившей сообщение (источника), и приоритета сообщения syslog.
Помимо файлов сообщений syslog, каталог /var/log содержит log-файлы других служб системы. В следующей таблице указаны некоторые полезные файлы, которые хранятся в каталоге /var/log.
Таблица 11.1. Системные log-файлы
/var/log/messages
Здесь регистрируется большинство сообщений syslog. Исключением являются сообщения, связанные с аутентификацией, обработкой электронной почты и запланированным выполнением заданий, а также сообщения, связанные исключительно с отладкой.
/var/log/secure
Сообщения syslog, связанные с событиями безопасности и аутентификации.
/var/log/maillog
Сообщения syslog, связанные с почтовым сервером.
/var/log/cron
Сообщения syslog, связанные с запланированным выполнением заданий.
/var/log/boot.log
Консольные сообщения, не связанные с syslog, которые касаются запуска системы.
Некоторые приложения не используют syslog для управления сообщениями журнала, хотя обычно они помещают свои log-файлы в подкаталог каталога /var/log. Например, веб-сервер Apache сохраняет сообщения журнала в файлы в подкаталоге каталога /var/log.
Man-страницы systemd-journald.service(8), rsyslogd(8) и rsyslog.conf(5)
systemd-journald.service
rsyslogd
rsyslog.conf
Дополнительные сведения см. в разделе Troubleshooting problems using log files руководства Red Hat Enterprise Linux 8 Configuring basic system settings: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/configuring_basic_system_settings/index#troubleshooting-problems-using-log-files_getting-started-with-system-administration