BR

BR BR

Introduzione

Uno degli aspetti fondamentali dei sistemi GNU/Linux è la registrazione di tutto ciò che accade nel sistema (logging).

Queste informazioni hanno un valore inestimabile per utilizzare il sistema in modo cosciente, e dovrebbero essere fra le prime risorse utilizzate per la risoluzione dei problemi e la ricerca delle soluzioni. I file di log memorizzano tutte le informazioni riguardanti lo stato di salute del sistema e delle applicazioni.

Ubuntu fornisce informazioni essenziali su eventi, operazioni ed altre funzionalità attraverso la registrazione di diversi file di log.

Tali file non sono altro che semplici file di testo in formato ASCII standard: generalmente vengono memorizzati nella sottodirectory di sistema /var/log.

La maggior parte file di log viene generata dal demone di sistema syslogd, altri vengono invece creati e gestiti direttamente dalle applicazioni che ne salvano una propria copia direttamente in /var/log.

La presente guida descrive i principali log di sistema ed il loro contenuto con degli esempi. Inoltre, verranno descritti alcuni esempi sul modo di estrarre le informazioni utili da tali registri, facendo uso dei soli strumenti disponibili da [:RigaDiComando:riga di comando].

Viene illustrato, inoltre, il funzionamento e la configurazione del demone di registrazione del sistema syslogd.

Esaminare i file di registro

Per esaminare i file di registro si fa uso di alcuni semplici [:ComandiBase:comandi].

Per visualizzare il contenuto di un determinato file con il comando less è sufficiente postporre il nome del file al comando, con una sintassi simile alla seguente:

less /var/log/auth.log

Il file /var/log/auth.log verrà stampato a schermo, per scorrere il file riga per riga si possono usare le freccie direzionali, altrimenti, per scorrere di una pagina il contenuto, è possibile usare i tasti «BARRA SPAZIATRICE» (avanti) e «b» (indietro); per terminare il programma premere il tasto «q».

La ricerca all'interno dei file di log può risultare lunga e difficoltosa a causa delle loro dimensioni. Tale operazione può essere però semplificata attraverso l'uso combinato dei comandi less e grep, il quale si occuperà di ricercare stringhe o pattern definiti dall'utente. Di seguito viene mostrato un esempio:

grep sshd /var/log/auth.log | less

Il precedente comando stamperà a schermo le righe del file contenenti la stringa o il pattern ricercati.

Registri di sistema

Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che hanno a che fare con il funzionamento del sistema e non necessariamente con le altre applicazioni.

Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi ed ai log di sistema veri e propri, detti anche syslog (da non confondere con il demone syslogd descritto in seguito).

Log di autorizzazione

Il log di autorizzazione traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attarverso l'inserimento della propria password, come ad esempio il sistema PAM, il comando [:Sudo:sudo], l'accesso remoto da [:SSHHowto:shell ssh] e così via.

Il registro in questione è viene memorizzato nel file /var/log/auth.log

Log di debug

Il log di debug è presente in /var/log/debug e fornisce dettagli, messaggi di debug proveniente dal sistema e dalle applicazioni che si appoggiano al demone syslogd a livello di «DEBUG». Questi messaggi sono utili per il debug di applicazioni, driver e servizi.

Per esaminare il registo, digitare il seguente comando:

less /var/log/debug

Le informazioni specifiche possono essere rintracciate attraverso il comando grep. Per esempio, per esaminare le informazioni pertinenti allo stato di acpi è possibile digitare il seguente comando:

grep ACPI /var/log/debug | less

Log del kernel

Il registro di attività del kernel /var/log/kern.log fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, per esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel.

Per esaminare il registro, digitare il seguente comando:

less /var/log/kern.log

Le informazioni specifiche possono essere rintracciate attraverso il comando grep. Per esempio, per esaminare le informazioni relative alla CPU è possibile digitare il seguente comando:

grep CPU /var/log/kern.log | less

Kernel Ring Buffer

Il kernel ring buffer non è un vero e proprio file di log, ma piuttosto una area del kernel attualmente in uso che può essere interrogata in modo da informazioni riguardanti i messaggi di avvio del kernel stesso: a tale scopo è utile usare il comando dmesg. È possibile vedere tutti i messaggi inviati dal kernel durante la fase di avvio digitando il seguente comando in un terminale:

dmesg | less

Come al solito, è possibile usare una combinazione con il comando grep, allo scopo di ricercare informazioni più specifiche:

dmesg | grep pnp | less

Log dei messaggi

Il log in questione, localizzato in /var/log/messages, contiene i messaggi di informazioni delle applicazioni e degli strumenti di sistema. Questo registro è utile per esaminare messaggi di output provenienti dalle applicazioni e dagli strumenti di sistema che sfruttano il servizio syslogd a livello di «INFO».

Per esaminare tale file di registro digitare il seguente comando:

less /var/log/messages

Per visualizzare delle informazioni più specifiche si può ricorrere alla combinazione dei comandi grep e less, come illustrato nel seguente esempio:

grep gconfd /var/log/messages | less

Registro di sistema

Il registro di sistema contiene la stragrande maggioranze delle delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in /var/log/syslog e contiene tutte le altre informazioni non gestite dagli altri registri. È molto utile consultare questo file di registro quando le informazioni ricercate non sono presenti negli altri log citati in precedenza.

Log delle applicazioni

Oltre alla miriade di log specifici al sistema disponibili sul vostro sistema di Ubuntu, potete anche accedere ai diversi log che possono essere usati da determinate applicazioni. Se si elenca il contenuto della sottodirectory /var/log ,vedrete i nomi delle applicazioni che potete installare, come /var/log/apache2 rappresenta il log del server Apache2 (HTTP), o /var/log/samba, che contiene i log del server Samba (SMB). Questa sezione della guida introduce alcuni esempi specifici dei logs di applicazioni e le informazioni contenute all'interno di loro.

Log del server Apache

I file di registro di apache vengono memorizzati nella cartella /var/log/apache2. All'interno di questa directory sono presenti due differenti file di log, uno contenente le informazioni riguardanti le richieste d'accesso al server (/var/log/apache2/access.log), l'altro per i messaggi d'errore (/var/log/apache2/error.log).

Tramite i comandi grep e less è possibile ottenere tutte le informazioni desiderate dai sopra citati log, i.e per vedere quante richieste sono state ricevute dal server web dall'indirizzo 82.211.81.166 è sufficiente digitare il seguente comando:

grep "82.211.81.166" /var/log/apache2/access.log | less

Altrimenti, se si desidera conoscere quanti e quali client hanno usato per la navigazione il sistema operativo Mac OS X, è sufficiente digitare il seguente comando:

grep "Mac OS X" /var/log/apache2/access.log | less

In caso si una chiusura improvvisa del server, si può tentare di ricercarne le cause all'interno del registro degli errori, tramite un comando simile al seguente:

grep "shutting down" /var/log/apache2/error.log | less

Log del sistema di stampa CUPS

Il Common Unix Printing System (CUPS) memorizza il proprio registro all'interno del file /var/log/cups/error_log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale log potrebbe rivelarsi un buon punto di partenza. È possibile esaminare il log digitando il seguente comando:

less /var/log/cups/error_log

Attraverso l'uso combinato dei comandi grep e less è possibile visualizzare informazioni più specifiche. Per esempio, per vedere solo le informazioni presenti nel Log CUPS pertinenti al "Full reloads", dovete eseguire il segiente comando in un terminale:

grep reload /var/log/cups/error_log | less

Log di Rootkit Hunter

L'opzione Rootkit Hunter (rkhunter) controlla il vostro sistema di Ubuntu per vedere se ci sono backdoors, sniffers, e i cosiddetti "rootkits", che sono tutti i segni compromettenti per il vostro sistema. Il log che rkhunter usa è localizzato in /var/log/rkhunter.log È possibile esaminare il log, dal punto di rotazione più recente, (se è applicabile) una pagina per lo schermo, usando il seguente comando:

less /var/log/rkhunter.log

Informazioni specifiche possono essere raggiunte tramite il Log the Rootkit Hunter usando comandi come grep, e less. Per esempio, per vedere solo le informazioni nel Log the Rootkit Hunter pertinenti agli Errori, è necessario eseguire il seguente comando:

grep WARNING /var/log/rkhunter.log | less

Log del server Samba SMB

Il server SMB (Server Message Block Protocol), Samba è usato maggiormente per la condivisione dei file dal vostro computer Ubuntu ad altri computer che supportano il protocollo SMB. Samba conserve tre tipi di log differenti nella sottodirectory /var/log/samba:

• log.nmbd : Annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP (le cose della rete)

• log.smbd : Annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba (i file, disegni, etc. le cose condivise)

• log.[IP_ADDRESS] : Annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel log file name, per esempio, log.192.168.1.1.

Per vedere tutte le informazioni relative alla rete Samba, digitare il seguente comando in un terminale:

less /var/log/samba/log.nmbd

Per vedere soltanto le informazioni annotate riguardante Master Browsers, digitare il seguente comando in un terminale:

grep "master browser" /var/log/samba/log.nmbd | less

Se volete vedere i dettagli relativi alle funzionalità SMB di Samba, guardare il rispettivo log lanciando questo comando:

less /var/log/samba/log.smbd

Per vedere soltanto le informazioni riguardanti l'avvio del server Samba, eseguire questo comando:

grep started /var/log/samba/log.smbd | less

Per osservare tutti i particolari sui collegamenti dal sistema del client con l'indirizzo IP 192.168.99.99 usare questo comando:

less /var/log/samba/log.192.168.99.99

Log del server X11

L'X11 Windowing Server in uso con Ubuntu è il server Xorg X11, and assuming your computer has but one display defined, registra i messaggi del log nel file /var/log/Xorg.0.log. Questo log è utile per la diagnostica delle edizioni con il vostro ambiente X11. È possibile esaminare il log, dal punto di rotazione più recente, (se è applicabile) una pagina per lo schermo, usando il seguente comando:

less /var/log/Xorg.0.log

Informazioni specifiche possono essere raggiunte dal Log Xorg usando comandi come grep, e less. Per esempio, per vedere solo le informazioni presenti nel Log Xorg pertinenti ai font freetype di engine, digitare questo comando in un terminale:

grep freetype /var/log/Xorg.0.log | less

Log non umanamente intellegibili

Tra i vari file presenti in /var/log ve ne sono alcuni che vengono creati per essere letti da particolari applicazioni, non necessariamente da essere umani. Quelli che seguono sono degli esempi di questo particolare tipo di log.

Log degli accessi falliti

Il log degli accessi falliti al sistema è collocato in /var/log/faillog è attualmente destinato a essere analizzato, per l'output digitare il comando faillog. Per esempio, per stampare gli ultimi login falliti usare il seguente comando:

faillog

Log degli ultimi accessi

Il log degli utlimi login presente in /var/log/lastlog potrebbe tipicamente non essere analizzato, ed esaminato, ma piuttosto dovrebbe essere usato insieme al comando lastlog. Per esempio, per vedere la lista dei login con il comando lastlog, visualizzandola su una pagina con il comando less, usare il seguente comando in un terminale:

lastlog | less

Log degli accessi

Il file /var/log/wtmp contiene le annotazioni di login, ma diversamente da /var/log/lastlog non è utilizzato per vedere la lista degli ultimi login, ma è usato soprattutto per altri strumenti come il comando who per presentare un elencato degli utenti attualmente loggati. Per esempio, per vedere chi attualmente è loggato sulla macchina che attualmente state usando , digitare il seguente comando:

who

System Logging Daemon (syslogd)

Il system logging daemon, o syslogd (spesso conosciuto come sysklogd) è un demone di sistema, o una speciale applicazione che lavora silenziosamente, e fa delle buone cose per il tuo sistema. Specificamente, syslogd attende i messaggi di log da numerosi sistemi,le risorse di applicazioni, and routes the messages to their proper target, be it a standard log file, a First In First Out (FIFO) pipe for use by a log analyzation application, or even across the network to another system's syslogd.

I messaggi annotati a syslogd contengono solitamente gli elementi importanti , come gli hostnames del sistema, e tempo di stampa oltre che le informazioni specifiche del log da una fonte del sistema , il kernel Linux , o un'applicazione dell'utente.

Configurazione

La configurazione dettagliata di syslogd è oltre la portata di questa guida, ed il lettore è consigliato a raccogliere le informazioni supplementari attraverso la sezione Resources di questa guida per informazioni sulla corretta configurazione, e modificando la configurazione di syslogd. Il file che configura il comportamento del demone syslogd è /etc/syslog.conf ed è costituito principalmente da due parti, il selettore, e l'azione. The selector field consists of a facility, to be logged, such as for example the auth facility which deals with authorization, and a priority, or level to log such information at, such as info, or warning priorities, which would log all messages at the informational priority and higher, or only at the warning level and higher respectively. The action field consists of a target for the log information, such as a standard log file (i.e. /var/log/syslog), or the hostname of a remote computer to send the log information to (e.g. @myotherubuntu).

Il file di configurazione è molto flessibile, e potente in natura, allowing a seemingly infinite combination of logging to take place to fit the particular requirements your installation may have.

Echoing Messages to syslogd With Logger

Esiste una semplice utility nello strumento logger, che permette di inserire messaggi nel System Log (ad esempio /var/log/syslog) arbitrariamente. Questo è uno strumento molto potente, che è possibile usare in Administrative scripts come Perl, o in shell script per munirli di possibilità di log, o si può usare solo per inserire qualcosa nel log di sistema quando necessario. Per esempio, se il proprio nome utente è buddha, e si vuole inserire un messaggio nel syslog a proposito di una pizza particolarmente deliziosa che si sta mangiando, si può usare un commando come il seguente in un terminale:

{{{logger This Pizza from Vinnys Gourmet Rocks }}}

e dopo sarà presente una riga nel file /var/log/syslog come questa:

Jan 12 23:17:02 localhost buddha: This Pizza from Vinnys Gourmet Rocks

Used in a little more professional manner in shell scripts, you can even specify a tag the messages come from, and redirect the output standard error too. This lets you have excellent error logging in a script, such as in this example snippet:

#
# sample logger error jive
#
logmsg="/usr/bin/logger -s -t MyScript "

# announce what this script is, even to the log
$logmsg "Directory Checker FooScript Jive 1.0"

# test for the existence of Fred's home dir on this machine
if [ -d /home/fred ]; then
   $logmsg "I. Fred's Home Directory Found"
else
   $logmsg "E. Fred's Home Directory was NOT Found. Boo Hoo."
   exit 1
fi

Eseguendo questo script in questo modo chkdir.sh sulla macchina butters dovee Fred non ha una cartella home, /home/fred, dà i seguenti risultati:

bumpy@butters:~$./chkdir.sh
MyScript: Directory Checker FooScript Jive 1.0
MyScript: E. Fred's Home Directory was NOT Found. Boo Hoo.
bumpy@butters:~$tail -n 2 /var/log/syslog
Jan 12 23:23:11 localhost MyScript: Directory Checker FooScript Jive 1.0
Jan 12 23:23:11 localhost MyScript: E. Fred's Home Directory was NOT Found. Boo Hoo.

Quindi, come si vede, i messaggi sono stati ricevuti sia attraverso lo standard error, nel terminale, sia nel syslog!

Rotazione dei log

Vedendo la lista delle cartelle in /var/log o in qualsiasi delle sue sottocartelle, è possibile incontrare file di log con nome come daemon.log.0, daemon.log.1.gz, e così via. Cosa sono questi file di log? Sono file di log 'ruotati'. Cioè, sono stati automaticamente rinominati dopo un intervallo di tempo predefinito, e un nuovo log originale è iniziato. Dopo qualche tempo i file di log sono compressi con l'utility gzip come nel caso dell'esempio daemon.log.1.gz. Il proposito della rotazione dei log è di archiviare e comprimere vecchi log così che consumino meno spazio su disco, ma siano ancora disponibili per un controllo se necessario. Come controllare questa funzionalità? Con il comando logrotate ovviamente! Normalmente, logrotate è chimato dallo sitem-wide script cron /etc/cron.daily/logrotate, e poi è definito dal file di configurazione /etc/logrotate.conf.

Questa guida non coprirà la miriade di modi in cui la rotazione dei log può essere configurata per manipolare una rotazione automatica di qualsiasi file di log nel proprio sistema Ubuntu, ma piuttosto è consigliato l'uso della sezione Resources di questa guida, e studiare le pagine del manuale riguardo i requisiti per determinare come configurare la rotazione dei log per un particolare file di log, come necessario.

NOTE: You may also rotate system log files via the cron.daily script /etc/cron.daily/sysklogd instead of using logrotate. Actually, the utility savelog may produce unexpected results on log rotation which configuring logrotate seems to have no effect on. In those cases, you should check the cron.daily sysklogd script in /etc/cron.daily/sysklogd and read the savelog manual page to see if savelog is not in fact doing the rotation in a way that is not what you are specifying with logrotate.

Consigli aggiuntivi

Qualche consiglio addizionale per vedere rapidamente i log manualmente, (ad esempio senza un'applicazione che analizzi i file log) che potrebbe aiutare a ottenere opportunamente le informazioni desiderate.

Solo l'inizio

È possibile guardare solo l'inizio di qualsiasi file log usando il comando head. Di default, head mostra le prime dieci righe di un qualsiasi file di testo, quindi per esempio, se si volessero vedere gli ingressi più vecchi nel proprio Authorization Log file, un comando come il seguente potrebbe essere usato in un terminale:

head /var/log/auth.log

Se dieci righe non sono abbastanza, ed è necessario vedere le prime venticinque (25) righe, allora usare head con l'opzione -n come segue:

head -n 25 /var/log/auth.log

Solo la fine

The compliment to head of course is none other than the tail command. Can you guess what tail allows you to do? Say you need the last ten lines of the Kernel log for important messages from the kernel of late. A command such as the following entered into a terminal prompt should do:

}}}

Ancora, e come con head, magari si vuole avere più delle dieci righe di output di default con tail, specificando l'opzione -n così:

{{{tail -n 30 /var/log/kern.log }}}

Edit conflict - other version:

per vedere le ultime trenta (30) righe del log del kernel invece.

Real-Time Tail

Edit conflict - your version:

to see the last thirty (30) lines of the Kernel log instead.

Tail in tempo reale

End of edit conflict

Un altro semplice utilizzo del comando tail serve a vedere un log in 'tempo reale' specificando l'opzione «-f». Per esempio, se si vuole guardare in tempo reale i client che accedono al proprio Apache2 server, dando un comando come questo da un terminale permetterà di fare ciò:

{{{tail -f /var/log/apache2/access.log }}}

Si vedrà il log sputato fuori, dopo fermo, e appena un ingresso è effettuato nel server Apache2, le entrate nel log appariranno in tempo reale! Se si ha un server molto occupato, appariranno troppo velocemente per leggerle! E' possibile utilizzare l'opzione «-f» per vedere qualsiasi file di log in questo modo.

Note

Per ottenere maggiori informazioni è possibile consultare le seguenti pagine di manuale:

Ulteriori risorse

• [https://help.ubuntu.com/community/LinuxLogFiles Documento originale]

• [http://www.samag.com/documents/s=1146/sam0109m/0109m.htm Checking Your System Logs with awk]

• [http://www.linuxvoodoo.com/resources/howtos/syslog/ Syslog - Watching Your Logs]

• [http://www-128.ibm.com/developerworks/linux/library/l-roadmap5/ Windows-to-Linux roadmap: Part 5. Linux logging (IBM)]

• [http://www.linuxsecurity.com/content/view/116430/151/ Sawing Linux Logs With Simple Tools]

CategoryInTraduzione