|
Dimensione: 20530
Commento:
|
Dimensione: 19937
Commento: sistemate alcune cose, da concludere ancora
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 210: | Linea 210: |
| Il file di configurazione del demone {{{syslogd}}} è {{{/etc/syslog.conf}}} ed è costituito principalmente da due parti, il campo di selezione, e l'azione. The selector field consists of a facility, to be logged, such as for example the '''auth''' facility which deals with authorization, and a priority, or level to log such information at, such as '''info''', or '''warning''' priorities, which would log all messages at the informational priority and higher, or only at the warning level and higher respectively. The action field consists of a target for the log information, such as a standard log file (i.e. {{{/var/log/syslog}}}), or the hostname of a remote computer to send the log information to (e.g. @myotherubuntu). Il file di configurazione è molto flessibile, e potente in natura, allowing a seemingly infinite combination of logging to take place to fit the particular requirements your installation may have. == Echoing Messages to syslogd With Logger == Esiste una semplice utility nello strumento {{{logger}}}, che permette di inserire messaggi nel System Log (ad esempio {{{/var/log/syslog}}}) arbitrariamente. Questo è uno strumento molto potente, che è possibile usare in Administrative scripts come Perl, o in shell script per munirli di possibilità di log, o si può usare solo per inserire qualcosa nel log di sistema quando necessario. Per esempio, se il proprio nome utente è {{{buddha}}}, e si vuole inserire un messaggio nel syslog a proposito di una pizza particolarmente deliziosa che si sta mangiando, si può usare un commando come il seguente in un terminale: |
Il file di configurazione {{{/etc/syslog.conf}}} contiene la configurazione del servizio '''syslogd'''. La spiegazione del contenuto di tale file esula dagli scopi della presente guida. Consultare la sezione [#risorse Ulteriori risorse]. == Inviare messaggi al registro di sistema == ## devo riprendere da qui Il comando '''logger''' permette di inserire messaggi in uno dei log del sistema (ad esempio {{{/var/log/syslog}}}) in modo arbitrario. Questo è uno strumento molto potente, che è possibile usare all'interno di script amministrativi, o si può usare solo per inserire qualcosa nel log di sistema quando necessario. Per esempio, se il proprio nome utente è {{{buddha}}}, e si vuole inserire un messaggio nel syslog a proposito di una pizza particolarmente deliziosa che si sta mangiando, si può usare un commando come il seguente in un terminale: |
| Linea 271: | Linea 271: |
| Linea 329: | Linea 328: |
| [[Anchor(risorse)]] | |
| Linea 332: | Linea 332: |
| * [http://na.mirror.garr.it/mirrors/appuntilinux/HTML/a2162.htm Appunti di informatica libera] Gestione del registro di sistema |
Indice BR TableOfContents |
Introduzione
Uno degli aspetti fondamentali dei sistemi GNU/Linux è la registrazione di tutto ciò che accade nel sistema (logging).
Queste informazioni hanno un valore inestimabile per utilizzare il sistema in modo cosciente, e dovrebbero essere fra le prime risorse utilizzate per la risoluzione dei problemi e la ricerca delle soluzioni. I file di log memorizzano tutte le informazioni riguardanti lo stato di salute del sistema e delle applicazioni.
Ubuntu fornisce informazioni essenziali su eventi, operazioni ed altre funzionalità attraverso la registrazione di diversi file di log.
Tali file non sono altro che semplici file di testo in formato ASCII standard: generalmente vengono memorizzati nella sottodirectory di sistema /var/log.
La maggior parte file di log viene generata dal demone di sistema syslogd, altri vengono invece creati e gestiti direttamente dalle applicazioni che ne salvano una propria copia direttamente in /var/log.
La presente guida descrive i principali log di sistema ed il loro contenuto con degli esempi. Inoltre, verranno descritti alcuni esempi sul modo di estrarre le informazioni utili da tali registri, facendo uso dei soli strumenti disponibili da [:RigaDiComando:riga di comando].
Viene illustrato, inoltre, il funzionamento e la configurazione del demone di registrazione del sistema syslogd.
Esaminare i file di registro
Per esaminare i file di registro si fa uso di alcuni semplici [:ComandiBase:comandi].
Per visualizzare il contenuto di un determinato file con il comando less è sufficiente postporre il nome del file al comando, con una sintassi simile alla seguente:
less /var/log/auth.log
Il file /var/log/auth.log verrà stampato a schermo, per scorrere il file riga per riga si possono usare le freccie direzionali, altrimenti, per scorrere di una pagina il contenuto, è possibile usare i tasti «BARRA SPAZIATRICE» (avanti) e «b» (indietro); per terminare il programma premere il tasto «q».
La ricerca all'interno dei file di log può risultare lunga e difficoltosa a causa delle loro dimensioni. Tale operazione può essere però semplificata attraverso l'uso combinato dei comandi less e grep, il quale si occuperà di ricercare stringhe o pattern definiti dall'utente. Di seguito viene mostrato un esempio:
grep sshd /var/log/auth.log | less
Il precedente comando stamperà a schermo le righe del file contenenti la stringa o il pattern ricercati.
Registri di sistema
Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che hanno a che fare con il funzionamento del sistema e non necessariamente con le altre applicazioni.
Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi ed ai log di sistema veri e propri, detti anche syslog (da non confondere con il demone syslogd descritto in seguito).
Log di autorizzazione
Il log di autorizzazione traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attarverso l'inserimento della propria password, come ad esempio il sistema PAM, il comando [:Sudo:sudo], l'accesso remoto da [:SSHHowto:shell ssh] e così via.
Posizione: /var/log/auth.log
Esempio:
grep sshd /var/log/auth.log | less
Log di debug
Il log di debug fornisce i dettagli dei messaggi di debug provenienti dal sistema e dalle applicazioni che si appoggiano al demone syslogd a livello di «DEBUG». Questi messaggi sono utili per il debug di applicazioni, driver e servizi.
Posizione: /var/log/debug
Esempio:
grep ACPI /var/log/debug | less
Log del kernel
Il registro di attività del kernel fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, per esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel.
Posizione: /var/log/kern.log
Esempio:
grep CPU /var/log/kern.log | less
Kernel Ring Buffer
Il kernel ring buffer non è un vero e proprio file di log, ma piuttosto un'area del kernel attualmente in uso che può essere interrogata in modo da ottenere informazioni riguardanti i messaggi di avvio del kernel stesso: a tale scopo è utile usare il comando dmesg. È possibile vedere tutti i messaggi inviati dal kernel durante la fase di avvio digitando il seguente comando in un terminale:
dmesg | less
Come al solito, è possibile usare una combinazione con il comando grep, allo scopo di ricercare informazioni più specifiche:
dmesg | grep pnp | less
All'avvio del sistema, come impostazione predefinita, lo script /etc/init.d/bootmisc.sh lancia il comando dmesg e ne memorizza i risultati all'interno di /var/log/dmesg. Tale file può essere consultato come un qualsiasi altro file di registro. |
Log dei messaggi
Il log in questione contiene i messaggi di informazioni delle applicazioni e degli strumenti di sistema. Questo registro è utile per esaminare messaggi di output provenienti dalle applicazioni e dagli strumenti di sistema che sfruttano il servizio syslogd a livello di «INFO».
Posizione: /var/log/messages
Esempio:
grep gconfd /var/log/messages | less
Registro di sistema
Il registro di sistema contiene la stragrande maggioranze delle delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in /var/log/syslog e contiene tutte le altre informazioni non gestite dagli altri registri. È molto utile consultare questo file di registro quando le informazioni ricercate non sono presenti negli altri log citati in precedenza.
Registri delle applicazioni
Oltre alla miriade di log specifici del sistema, è possibile accedere anche ai diversi log usati da determinate applicazioni. Se si elenca il contenuto della sottodirectory /var/log ,è possibile notare dei file contenenti i nomi di alcune applicazioni installate, come /var/log/apache2 rappresenta il log del server Apache, o /var/log/samba, che contiene i log del server Samba. Questa sezione introduce alcuni esempi specifici dei registri delle applicazioni e le informazioni contenute in essi.
Registro di Apache
I file di registro di apache vengono memorizzati nella cartella /var/log/apache2. All'interno di questa directory sono presenti due differenti file di log, uno contenente le informazioni riguardanti le richieste d'accesso al server (/var/log/apache2/access.log), l'altro per i messaggi d'errore (/var/log/apache2/error.log).
Posizione: /var/log/apache2/
Esempio:
grep "82.211.81.166" /var/log/apache2/access.log | less grep "Mac OS X" /var/log/apache2/access.log | less grep "shutting down" /var/log/apache2/error.log | less
Registro del sistema di stampa CUPS
Anche il Common Unix Printing System (CUPS) registra la propria attività all'interno di un file di log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale registro potrebbe rivelarsi un buon punto di partenza.
Posizione: /var/log/cups/error_log
Esempio:
grep reload /var/log/cups/error_log | less
Log di Rootkit Hunter
Il comando rkhunter effettua dei controlli nel sistema per verificare la presenza di backdoor, sniffer, rootkit e altre applicazioni indesiderate.
Posizione: /var/log/rkhunter.log
Esempio:
grep WARNING /var/log/rkhunter.log | less
Registro di Samba
Il server Samba è solitamente usato per la condivisione di file fra sistemi compatibili. Samba conserva tre tipi di log differenti nella sottodirectory /var/log/samba:
log.nmbd : Annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP
log.smbd : Annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba
log.[IP_ADDRESS] : Annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel nome del file, per esempio, log.192.168.1.1.
Posizione: /var/log/samba
Esempio:
grep "master browser" /var/log/samba/log.nmbd | less less /var/log/samba/log.nmbd grep started /var/log/samba/log.smbd | less less /var/log/samba/log.192.168.99.99
Registro di X
Il server grafico X memorizza le proprie attività all'interno del file /var/log/Xorg.0.log.
Posizione: /var/log/Xorg.0.log
Esempio:
grep freetype /var/log/Xorg.0.log | less
Log non umanamente intellegibili
Tra i vari file presenti in /var/log ve ne sono alcuni destinati ad essere letti da particolari applicazioni, non necessariamente da essere umani. Quelli che seguono sono degli esempi di questi particolari tipi di registro.
Registro degli accessi falliti
È possibile visualizzare il log degli accessi falliti al sistema tramite il comando faillog.
Posizione: /var/log/faillog
Esempio:
faillog
Registro degli ultimi accessi
È possibile esaminare il registro degli utlimi accessi effettuati tramite il comando lastlog.
Posizione: /var/log/lastlog
Esempio:
lastlog | less
Registro degli accessi
È possibile esaminare il registro in questione in modo da conoscere gli utenti attualmente loggati nel sistema attraverso il comando who.
Posizione: /var/log/wtmp
Esempio:
who
System Logging Daemon
Il System Logging Daemon, o syslogd, è un servizio di sistema che ha il compito di ricevere, reindirizzare (in locale o attraverso la rete) e memorizzare i messaggi di log proveniente dagli altri sottosistemi (servizi, applicazioni etc).
Configurazione
Il file di configurazione /etc/syslog.conf contiene la configurazione del servizio syslogd. La spiegazione del contenuto di tale file esula dagli scopi della presente guida. Consultare la sezione [#risorse Ulteriori risorse].
Inviare messaggi al registro di sistema
Il comando logger permette di inserire messaggi in uno dei log del sistema (ad esempio /var/log/syslog) in modo arbitrario. Questo è uno strumento molto potente, che è possibile usare all'interno di script amministrativi, o si può usare solo per inserire qualcosa nel log di sistema quando necessario. Per esempio, se il proprio nome utente è buddha, e si vuole inserire un messaggio nel syslog a proposito di una pizza particolarmente deliziosa che si sta mangiando, si può usare un commando come il seguente in un terminale:
{{{logger This Pizza from Vinnys Gourmet Rocks }}}
e dopo sarà presente una riga nel file /var/log/syslog come questa:
Jan 12 23:17:02 localhost buddha: This Pizza from Vinnys Gourmet Rocks
Used in a little more professional manner in shell scripts, you can even specify a tag the messages come from, and redirect the output standard error too. This lets you have excellent error logging in a script, such as in this example snippet:
# # sample logger error jive # logmsg="/usr/bin/logger -s -t MyScript " # announce what this script is, even to the log $logmsg "Directory Checker FooScript Jive 1.0" # test for the existence of Fred's home dir on this machine if [ -d /home/fred ]; then $logmsg "I. Fred's Home Directory Found" else $logmsg "E. Fred's Home Directory was NOT Found. Boo Hoo." exit 1 fi
Eseguendo questo script in questo modo chkdir.sh sulla macchina butters dovee Fred non ha una cartella home, /home/fred, dà i seguenti risultati:
bumpy@butters:~$./chkdir.sh MyScript: Directory Checker FooScript Jive 1.0 MyScript: E. Fred's Home Directory was NOT Found. Boo Hoo. bumpy@butters:~$tail -n 2 /var/log/syslog Jan 12 23:23:11 localhost MyScript: Directory Checker FooScript Jive 1.0 Jan 12 23:23:11 localhost MyScript: E. Fred's Home Directory was NOT Found. Boo Hoo.
Quindi, come si vede, i messaggi sono stati ricevuti sia attraverso lo standard error, nel terminale, sia nel syslog!
Rotazione dei log
Vedendo la lista delle cartelle in /var/log o in qualsiasi delle sue sottocartelle, è possibile incontrare file di log con nome come daemon.log.0, daemon.log.1.gz, e così via. Cosa sono questi file di log? Sono file di log 'ruotati'. Cioè, sono stati automaticamente rinominati dopo un intervallo di tempo predefinito, e un nuovo log originale è iniziato. Dopo qualche tempo i file di log sono compressi con l'utility gzip come nel caso dell'esempio daemon.log.1.gz. Il proposito della rotazione dei log è di archiviare e comprimere vecchi log così che consumino meno spazio su disco, ma siano ancora disponibili per un controllo se necessario. Come controllare questa funzionalità? Con il comando logrotate ovviamente! Normalmente, logrotate è chimato dallo sitem-wide script cron /etc/cron.daily/logrotate, e poi è definito dal file di configurazione /etc/logrotate.conf.
Questa guida non coprirà la miriade di modi in cui la rotazione dei log può essere configurata per manipolare una rotazione automatica di qualsiasi file di log nel proprio sistema Ubuntu, ma piuttosto è consigliato l'uso della sezione Resources di questa guida, e studiare le pagine del manuale riguardo i requisiti per determinare come configurare la rotazione dei log per un particolare file di log, come necessario.
NOTA E' possibile anche ruotare i file di log di sistema attraverso lo script cron.daily (/etc/cron.daily/sysklogd) invece di usare logrotate. In effetti, l'utility savelog può produrre risultati inaspettati sulla rotazione dei log sulla quale la configurazione di logrotate non sembra avere effetti. In questi casi, si dovrebbe controllare lo script cron.daily sysklogd reperibile in /etc/cron.daily/sysklogd e leggere la pagina del manuale di savelog per vedere se savelog non sta effettivamente facendo la rotazione in un modo che non è quello che si era specificato con logrotate.
Consigli aggiuntivi
Qualche consiglio addizionale per vedere rapidamente i log manualmente, (ad esempio senza un'applicazione che analizzi i file log) che potrebbe aiutare a ottenere opportunamente le informazioni desiderate.
Solo l'inizio
È possibile guardare solo l'inizio di qualsiasi file log usando il comando head. Di default, head mostra le prime dieci righe di un qualsiasi file di testo, quindi per esempio, se si volessero vedere gli ingressi più vecchi nel proprio Authorization Log file, un comando come il seguente potrebbe essere usato in un terminale:
head /var/log/auth.log
Se dieci righe non sono abbastanza, ed è necessario vedere le prime venticinque (25) righe, allora usare head con l'opzione -n come segue:
head -n 25 /var/log/auth.log
Solo la fine
The compliment to head of course is none other than the tail command. Can you guess what tail allows you to do? Say you need the last ten lines of the Kernel log for important messages from the kernel of late. A command such as the following entered into a terminal prompt should do:
}}}
Ancora, e come con head, magari si vuole avere più delle dieci righe di output di default con tail, specificando l'opzione -n così:
{{{tail -n 30 /var/log/kern.log }}}
per vedere le ultime trenta (30) righe del log del kernel invece.
Tail in tempo reale
Un altro semplice utilizzo del comando tail serve a vedere un log in 'tempo reale' specificando l'opzione «-f». Per esempio, se si vuole guardare in tempo reale i client che accedono al proprio Apache2 server, dando un comando come questo da un terminale permetterà di fare ciò:
{{{tail -f /var/log/apache2/access.log }}}
Si vedrà il log sputato fuori, dopo fermo, e appena un ingresso è effettuato nel server Apache2, le entrate nel log appariranno in tempo reale! Se si ha un server molto occupato, appariranno troppo velocemente per leggerle! E' possibile utilizzare l'opzione «-f» per vedere qualsiasi file di log in questo modo.
Note
Per ottenere maggiori informazioni è possibile consultare le seguenti pagine di manuale:
Pagine di manualeBR |
|
man dmesg |
System manual page for the dmesg kernel ring buffer utility |
man faillog |
System manual page for the faillog command (and also the faillog configuration file via man 5 faillog) |
man grep |
System manual page for the grep pattern searching utility |
man head |
System manual page for the head utility |
man klogd |
System manual page for the kernel log daemon (klogd) |
man last |
System manual for the last command which shows last logged in users |
man less |
System manual page for the less paging utility |
man logger |
System manual page for the logger command-line interface to syslog utility |
man logrotate |
System manual page for the the logrotate utility |
man savelog |
System manual page for the savelog log file saving utility |
man syslogd |
System manual page for the system log daemon (syslogd) |
man syslog.conf |
System manual page for the syslogd configuration file |
man tail |
System manual page for the tail utility |
Ulteriori risorse
[https://help.ubuntu.com/community/LinuxLogFiles Documento originale]
[http://na.mirror.garr.it/mirrors/appuntilinux/HTML/a2162.htm Appunti di informatica libera] Gestione del registro di sistema
[http://www.samag.com/documents/s=1146/sam0109m/0109m.htm Checking Your System Logs with awk]
[http://www.linuxvoodoo.com/resources/howtos/syslog/ Syslog - Watching Your Logs]
[http://www-128.ibm.com/developerworks/linux/library/l-roadmap5/ Windows-to-Linux roadmap: Part 5. Linux logging (IBM)]
[http://www.linuxsecurity.com/content/view/116430/151/ Sawing Linux Logs With Simple Tools]
