Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "AmministrazioneSistema/LogDiSistema"
Differenze tra le versioni 21 e 105 (in 84 versioni)
Versione 21 del 25/04/2007 17.51.48
Dimensione: 25999
Autore: NaldiniPaolo
Commento:
Versione 105 del 12/02/2023 13.27.00
Dimensione: 18144
Commento: revisione completa
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 1: Linea 1:
## page was renamed from LogDiSistema
## page was renamed from LogFiles
#format wiki
Linea 2: Linea 5:
[[BR]]
||<tablestyle="float:right; font-size: 0.9em; width:30%; background:#F1F1ED; margin: 0 0 1em 1em;" style="padding:0.5em;">[[TableOfContents(1)]]||

Traduzione di https://help.ubuntu.com/community/LinuxLogFiles?highlight=%28log%29

 * Log = registrazione - log file
 * Logged = registrato
<<BR>>
<<Indice(depth=2)>>
<<Informazioni(forum="https://forum.ubuntu-it.org/viewtopic.php?p=3854842"; rilasci="22.04 20.04")>>
Linea 12: Linea 11:
Uno degli aspetti che rendono GNU/Linux un grande sistema operativo è che, in teoria, tutto ciò che avviene al/o dentro il sistema viene in qualche modo registrato (logged).
Queste informazioni hanno un valore inestimable per utilizzare il sistema in modo cosciente, e dovrebbero essere una delle prime risorse utilizzate per la risoluzione dei problemi e la ricerca delle soluzioni.
I file di log dicono tutto quello che bisogna sapere, naturalmente a patto che si abbia idea di dove guardare...

Il vostro sistema Ubuntu fornisce informazioni essenziali su eventi, operazioni ed altre funzionalità attraverso la registrazione di diversi files di log.

Questi "log files" tipicamente sono semplice file di testo in formato ASCII standard, e la maggior parte di essi si trova nella sottodirectory di sistema `/var/log`.

La maggior parte dei log files è generata dal demone di sistema '''syslogd''', altri log files sono generati direttamente dalle applicazioni che ne salvano una propria copia direttamente nei files di log situati nella sottodirectory `/var/log`.

Questa Guida descrive i principali files di log ed il loro contenuto con degli esempi. Inoltre, si descrivono alcuni esempi sul modo per estrarre delle informazioni utili da queste registrazioni, usando semplicemente gli strumenti disponibili da riga di comando, come '''grep''' e '''less'''.

Questa guida, inoltre, descrive demone di registrazione del sistema, '''syslogd''', la sua configurazione ed il concetto di rotazione dei log.
Ulteriori informazioni sono disponibili nella sezione Risorse di questa guida.

= Destinatari della Guida =

Questa Guida è destinata agli utenti che abbiano un'esperienza sufficiente nell'utilizzo di GNU/Linux ed in particolare una certa esperienza nell'utilizzo degli strumenti da riga di comando e nella modifica dei files di configurazione del sistema attraverso l'uso di un editor di testo da riga di comando.
Ulteriori risorse sugli editor di testo da riga di comando e sui comandi base del sistema:

 * [:ComandiBase]
 * [:EditorDiTesto]

= System Log =

Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di log che hanno a che fare con il funzionamento del sistema Ubuntu e non necessariamente con le altre applicazioni aggiunte dall'Amministratore del Sistema o dagli altri Utenti.

Esempi di questo tipo di logs sono quelli relativi ai meccanismi di autorizzazione, ai demoni di sistema, ai messaggi di sistema ed ai log di sistema veri e propri, detti anche syslog (da non confondere con il demone syslogd di cui ci occuperemo in seguito).

== Log di Autorizzazione ==

Il log di Autorizzazione rintraccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono autorizzare gli utenti che richiamano le password dell'utente, come ad esempio il sistema del Modulo di Autenticazione Pluggable (PAM), il comando sudo, l'accesso remoto da sshd, e così via. Il log file di Autorizzazione può essere raggiunto qua `/var/log/auth.log`. Questo log è utile, per esempio, a conoscere i login dell'utente, ed usare il comando sudo sul tuo sistema Ubuntu.

È possibile esaminare il log, dal punto di rotazione più recente, (se è applicabile) una pagina per lo schermo, usando il seguente comando:
{{{
Uno degli aspetti fondamentali dei sistemi GNU/Linux è il '''logging''', ovvero la registrazione di tutto ciò che accade nel sistema.<<BR>>
Queste informazioni hanno un valore inestimabile per utilizzare il sistema in modo cosciente. Inoltre rientrano fra le prime risorse che è bene controllare per la risoluzione di eventuali problemi e per la ricerca delle relative soluzioni. Infatti i '''file di log''' memorizzano tutte le informazioni riguardanti lo stato del sistema e delle applicazioni, compresi eventuali errori.

Ubuntu fornisce informazioni essenziali su eventi, operazioni e altre funzionalità attraverso la registrazione di diverse tipologie file di log.<<BR>>
Tranne alcune eccezioni, tali file:
 * sono semplici file di testo in formato [[https://it.wikipedia.org/wiki/ASCII|ASCII]] standard.
 * vengono generalmente memorizzati in `/var/log`, la sottodirectory di sistema appositamente dedicata.
 * possono essere generati dal demone di sistema '''rsyslogd''' oppure creati e gestiti direttamente dalle applicazioni.

Questa guida descrive, fra le varie cose:
 * i principali log di sistema e delle applicazioni, nonché il loro contenuto.
 * alcuni modi per consultare tali log e registri tramite [[AmministrazioneSistema/Terminale|riga di comando]] al fine di estrarre informazioni utili, con l'aiuto di esempi pratici.
 * alcuni usi principali del demone di registrazione del sistema '''rsyslogd''', di '''dmesg''' e di '''journal'''.

= Esaminare i file di registro =

I file di log possono contenere un numero tale di righe che potrebbero risultare scomodi da consultare tramite il comando '''cat''' o con i principali [[Ufficio/EditorDiTesto|editor di testo]]. Quindi è possibile utilizzare alcuni [[AmministrazioneSistema/ComandiBase|comandi di base]], fra cui alcuni più specifici come '''head''' e '''tail'''.

{{{#!wiki note
Alcuni file necessitano dei [[AmministrazioneSistema/PrivilegiDiAmministrazione/Sudo|privilegi di amministrazione]] per essere letti.
}}}

== Lettura dei log con i comandi di base ==

Per visualizzare il contenuto di un file con il comando '''less''' è sufficiente postporre il nome del file al comando, con una sintassi simile alla seguente:{{{
Linea 50: Linea 39:
Premere la BARRA '''SPAZIATRICE''' per passare alla pagina seguente, o '''INVIO''' per passare una linea alla volta. il tasto '''b''' permette di tornare indietro di una pagina intera, e il tasto '''q''' chiude il programma.

Le informazioni specifiche possono essere raggiunte attraverso il log Autorizazzione usando comandi del tipo grep. Per esempio, per vedere soltanto le informazioni del log Autorizzazione pertinenti al login sshd, usare il seguente comando in un terminale:
{{{
grep sshd /var/log/auth.log | less
}}}

=== Log di Debug ===

Il log di Debug è presente in {{{/var/log/debug}}} e fornisce dettagli, messaggi di debug dal sistema Ubuntu, ed applicazioni che loggano {{{syslogd}}} a livello di DEBUG. Questi messaggi sono utili per controllare le edizioni con ogni cosa dai driver dell'hardware, al server daemons.

È possibile esaminare il log, dal punto di rotazione più recente, (se è applicabile) una pagina per lo schermo, usando il seguente comando:

{{{less /var/log/debug
}}}

Le informazioni specifiche possono essere raggiunte attraverso il Log Debug usando comandi come: {{{grep}}}, e {{{less}}}. Per esempio, per vedere soltanto le informzaioni del Log Debug pertinenti alla Configurazione Avanzata e alla Power Interface (ACPI), usare il seguente comando in un terminale:

{{{grep ACPI /var/log/debug | less
}}}

=== Kernel Log ===

Il log del kernel: {{{/var/log/kern.log}}} fornisce un log dettagliato di messaggi provenienti dal kernel di Ubuntu Linux. Questi messaggi possono risultare utili,per esempio, for trouble-shooting a new, o modifiche del kernel.

È possibile esaminare il log, dal punto di rotazione più recente, (se è applicabile) una pagina per lo schermo, usando il seguente comando:

{{{less /var/log/kern.log
}}}

Le informazioni specifiche possono essere raggiunte attraverso il log del Kernel usando comandi come: {{{grep}}}, e {{{less}}}. Per esempio, per vedere solo le informazione nel log del Kernel Log pertinenti alla CPU (computer's Central Processing Unit), usare il seguente comando in un terminale:

{{{grep CPU /var/log/kern.log | less
}}}

=== Kernel Ring Buffer ===

The kernel ring buffer is not really a log file per se, but rather an area in the running kernel which may be queried for kernel bootup messages via the {{{dmesg}}} utility. You may see all kernel bootup messages by using a command such as the following at a terminal prompt:

{{{dmesg | less}}}

You may also use the {{{dmesg}}} utility to examine specific information from the kernel bootup messages such as Plug and Play (PNP) messages by using a command such as the following at a terminal prompt:

{{{dmesg | grep pnp | less}}}

In relation to the Kernel Ring Buffer, the default behavior of the {{{/etc/init.d/bootmisc.sh}}} system initialization script is to use the {{{dmesg}}} command to log all bootup messages to the file {{{/var/log/dmesg}}} as well. This file may be used as any other log file for examining Kernel bootup messages via commands {{{grep}}}, {{{less}}}, and others.

=== Messages Log ===
The messages log contains informational messages from applications, and system facilities, and is available at {{{/var/log/messages}}}. This log is useful for examining message output from applications, and system facilities which log to the syslog / sysklog daemon at the INFO level.

You may examine the log, from its most recent rotation point, (if applicable) one page per screen, using a command such as the following from a terminal prompt:

{{{less /var/log/messages}}}

Specific information may be accessed from the Messages Log by using such commands as {{{grep}}}, and {{{less}}}. For example, to see only information in the Messages Log pertaining to the Gnome Configuration Daemon ({{{gconfd}}}), you might use a command such as the following at a terminal prompt:

{{{grep gconfd /var/log/messages | less}}}

=== System Log ===
The system log typically contains the greatest deal of information by default about your Ubuntu system. It is located at {{{/var/log/syslog}}}, and may contain information other logs do not. You may wish to consult the System Log when you are unable to locate the desired log information in another log.


== Application Logs ==
In addition to the myriad of system-specific logs available on your Ubuntu system, you may also access individual logs which may be used by certain applications. If you list the contents of your {{{/var/log}}} subdirectory, you will see familiar names of applications you may have installed, such as {{{/var/log/apache2}}} representing the logs for the Apache 2 Hyper Text Transport Protocol (HTTP) server, or {{{/var/log/samba}}}, which contains the logs for the Samba Server Message Block (SMB) server. This section of the guide introduces some specific examples of application logs, and information contained within them.

=== Apache HTTP Server Logs ===
The default installation for Apache2 on Ubuntu creates a log subdirectory: {{{/var/log/apache2}}}, and within this subdirectory, are two log files with two distinct purposes:

 * {{{/var/log/apache2/access.log}}} : Contains records of all access to the HTTP server by clients
 * {{{/var/log/apache2/error.log}}} : Contains records of all error conditions reported by the HTTP server

With this information in mind, and a command of the tools {{{grep}}}, and {{{less}}} basic information gathering from these logs becomes possible.

For example, and in terms of access, if you wished to see log records for every recorded access to your Apache2 server from the client IP address ''82.211.81.166'', and display the results as one page per screen, you would simply use a command such as the following at a terminal prompt:

{{{grep "82.211.81.166" /var/log/apache2/access.log | less}}}

Or, if you wished to determine if any clients using your Apache2 server were using Mac OS X, a simple command such as the following, typed into a terminal window would suffice:

{{{grep "Mac OS X" /var/log/apache2/access.log | less}}}

On the other side of the coin, suppose you wished to see information from the {{{/var/log/apache2/error.log}}}. This log can be used to search for instances of the Apache2 server being shut down, by using a command such as the following from a terminal prompt:

{{{grep "shutting down" /var/log/apache2/error.log | less}}}

You may also see all log entries which are considered errors by Apache2 with a command such as the following entered at a terminal prompt:

{{{grep error /var/log/apache2/error.log | less}}}

=== CUPS Print System Logs ===
The Common Unix Printing System (CUPS) uses the default log file {{{/var/log/cups/error_log}}} to store informational and error messages. If you need to solve a printing issue in Ubuntu, then this log may be a good place to start. You may examine the log, from its most recent rotation point, (if applicable) one page per screen, using a command such as the following from a terminal prompt:

{{{less /var/log/cups/error_log}}}

Specific information may be accessed from the CUPS Log by using such commands as {{{grep}}}, and {{{less}}}. For example, to see only information in the CUPS Log pertaining to Full reloads, you might use a command such as the following at a terminal prompt:

{{{grep reload /var/log/cups/error_log | less}}}

=== Rootkit Hunter Log ===
The Rootkit Hunter utility ({{{rkhunter}}}) checks your Ubuntu system for backdoors, sniffers, and so-called "rootkits", which are all signs of compromise of your system. The log which rkhunter uses is located at {{{/var/log/rkhunter.log}}} You may examine the log, from its most recent rotation point, (if applicable) one page per screen, using a command such as the following from a terminal prompt:

{{{less /var/log/rkhunter.log}}}

Specific information may be accessed from the Rootkit Hunter Log by using such commands as {{{grep}}}, and {{{less}}}. For example, to see only information in the Rootkit Hunter Log pertaining to Warnings, you might use a command such as the following at a terminal prompt:

{{{grep WARNING /var/log/rkhunter.log | less}}}

=== Samba SMB Server Logs ===
The Server Message Block Protocol (SMB) server, Samba is popularly used for sharing files from your Ubuntu computer to other computers which support the SMB protocol. Samba keeps three distinct types of logs in the subdirectory {{{/var/log/samba}}}:

 * {{{log.nmbd}}} : Logs all messages related to Samba's NETBIOS over IP functionality (the network stuff)
 * {{{log.smbd}}} : Logs all messages related to Samba's SMB/CIFS functionality (the file, print, etc. sharing stuff)
 * {{{log.[IP_ADDRESS]}}} : Logs messages related to requests for services from the IP address contained in the log file name, for example, {{{log.192.168.1.1}}}.

To view all information related to Samba's networking, you could use a command such as the following at a terminal prompt:

{{{less /var/log/samba/log.nmbd}}}

If you wanted only to see information logged about Master Browsers, then you might use a command like this at a terminal prompt:

{{{grep "master browser" /var/log/samba/log.nmbd | less}}}

If you would like to see details related to the SMB functionality of Samba, you can view the appropriate log in its entirety with a command similar to the following at a terminal prompt:

{{{less /var/log/samba/log.smbd}}}

To see only messages related to the start up of the Samba server, a command like the following at a terminal prompt may be used:

{{{grep started /var/log/samba/log.smbd | less}}}

To view all the details on connections from the client system with IP address ''192.168.99.99'' you could use a command such as the following at a terminal prompt:

{{{less /var/log/samba/log.192.168.99.99}}}

=== X11 Server Log ===
The default X11 Windowing Server in use with Ubuntu is the Xorg X11 server, and assuming your computer has but one display defined, it stores log messages in the file {{{/var/log/Xorg.0.log}}}. This log is helpful for diagnosing issues with your X11 environment. You may examine the log, from its most recent rotation point, (if applicable) one page per screen, using a command such as the following from a terminal prompt:

{{{less /var/log/Xorg.0.log}}}

Specific information may be accessed from the Xorg Log by using such commands as {{{grep}}}, and {{{less}}}. For example, to see only information in the Xorg Log pertaining to the freetype font engine, you might use a command such as the following at a terminal prompt:

{{{grep freetype /var/log/Xorg.0.log | less}}}

== Non-Human-Readable Logs ==
Some log files found in the {{{/var/log}}} subdirectory are designed to be readable by applications, and not necessarily by humans. Some examples of such log files which appear in {{{/var/log}}} follow.

=== Login Failures Log ===
The login failures log located at {{{/var/log/faillog}}} is actually designed to be parsed, and output by the {{{faillog}}} command. For example, to print recent login failures using the {{{faillog}}} command, simply enter the following at a terminal prompt:

{{{faillog}}}

=== Last Logins Log ===
The last logins log at {{{/var/log/lastlog}}} should not typically be parsed, and examined by humans, but rather should be used in conjunction with the {{{lastlog}}} command. For example to see a listing of logins with the {{{lastlog}}} command, displayed one page per screen with the {{{less}}} command, use the following command at a terminal prompt:

{{{lastlog | less}}}

=== Login Records Log ===
The file {{{/var/log/wtmp}}} contains login records, but unlike {{{/var/log/lastlog}}} above, {{{/var/log/wtmp}}} is not used to show a list of recent logins, but is instead used by other utilities such as the {{{who}}} command to present a listed of currently logged in users. For example, if you wish to see who is currently logged in on the machine you are currently using, issue the following at a terminal prompt:

{{{who}}}

== System Logging Daemon (syslogd) ==
The system logging daemon, or {{{syslogd}}} (also known as {{{sysklogd}}}) is a system daemon, or special application which executes silently, in the background and does good things for your system. Specifically, {{{syslogd}}} awaits logging messages from numerous system, and application sources, and routes the messages to their proper target, be it a standard log file, a First In First Out (FIFO) pipe for use by a log analyzation application, or even across the network to another system's {{{syslogd}}}.

Messages logged to {{{syslogd}}} usually contain important common elements, such as system hostnames, and time-stamps in addition to the specific log information from a system source, the Linux kernel, or a user application.

=== Configuration of syslogd ===
The detailed configuration of {{{syslogd}}} is beyond the scope of this guide, and the reader is encouraged to seek additional information via the '''Resources''' section of this guide for information on correctly configuring, and modifying the configuration of {{{syslogd}}}. The file which configures the behavior of the {{{syslogd}}} daemon is {{{/etc/syslog.conf}}} and consists primarily of two fields, the selector, and the action. The selector field consists of a facility, to be logged, such as for example the '''auth''' facility which deals with authorization, and a priority, or level to log such information at, such as '''info''', or '''warning''' priorities, which would log all messages at the informational priority and higher, or only at the warning level and higher respectively. The action field consists of a target for the log information, such as a standard log file (i.e. {{{/var/log/syslog}}}), or the hostname of a remote computer to send the log information to (e.g. @myotherubuntu).

The configuration file is very flexible, and powerful in nature, allowing a seemingly infinite combination of logging to take place to fit the particular requirements your installation may have.

=== Echoing Messages to syslogd With Logger ===
A neat utility exists in the {{{logger}}} tool, which allows one to place messages into the System Log (i.e. {{{/var/log/syslog}}}) arbitrarily. This is a powerful tool, which you may use in Administrative scripts, such as Perl, or shell scripts to provide them with standard logging capabilities, or you may use it just to place things in the system log as needed. For example, assume your user name is {{{buddha}}}, and you would like to enter a message into the syslog about a particularly delicious pizza you're eating, you could use a command such as the following at a terminal prompt:

{{{logger This Pizza from Vinnys Gourmet Rocks}}}

and you would find a line in the {{{/var/log/syslog}}} file such as this afterward:

{{{
Jan 12 23:17:02 localhost buddha: This Pizza from Vinnys Gourmet Rocks
}}}

Used in a little more professional manner in shell scripts, you can even specify a tag the messages come from, and redirect the output standard error too. This lets you have excellent error logging in a script, such as in this example snippet:

{{{
#!/bin/bash
#
# sample logger error jive
#
logmsg="/usr/bin/logger -s -t MyScript "

# announce what this script is, even to the log
$logmsg "Directory Checker FooScript Jive 1.0"

# test for the existence of Fred's home dir on this machine
if [ -d /home/fred ]; then
   $logmsg "I. Fred's Home Directory Found"
else
   $logmsg "E. Fred's Home Directory was NOT Found. Boo Hoo."
   exit 1
fi
}}}

Executing this script as {{{chkdir.sh}}} on the machine {{{butters}}} where Fred does not have a home directory, {{{/home/fred}}}, gives the following results:

{{{
bumpy@butters:~$./chkdir.sh
MyScript: Directory Checker FooScript Jive 1.0
MyScript: E. Fred's Home Directory was NOT Found. Boo Hoo.
bumpy@butters:~$tail -n 2 /var/log/syslog
Jan 12 23:23:11 localhost MyScript: Directory Checker FooScript Jive 1.0
Jan 12 23:23:11 localhost MyScript: E. Fred's Home Directory was NOT Found. Boo Hoo.
}}}

So, as you can see, we received the messages both via standard error, at the terminal prompt, and they also appear in our syslog!

=== Log Rotation ===
When viewing directory listings in {{{/var/log}}} or any of its subdirectories, you may encounter log files with names such as {{{daemon.log.0}}}, {{{daemon.log.1.gz}}}, and so on. What are these log files? They are 'rotated' log files. That is, they have automatically been renamed after a predefined time-frame, and a new original log started. After even more time the log files are compressed with the {{{gzip}}} utility as in the case of the example {{{daemon.log.1.gz}}}. The purpose of log rotation is to archive and compress old logs so that they consume less disk space, but are still available for inspection as needed. What handles this functionality? Why, the {{{logrotate}}} command of course! Typically, logrotate is called from the system-wide cron script {{{/etc/cron.daily/logrotate}}}, and further defined by the configuration file {{{/etc/logrotate.conf}}}.

This guide will not cover the myriad of ways logrotate may be configured to handle the automatic rotation of any log file on your Ubuntu system, but rather the reader is encouraged to use the '''Resources''' section of this guide, and study the requisite manual pages to determine how to configure logrotate for a particular log file, and needs.

attachment:IconsPage/IconNote.png '''NOTE:''' You may also rotate system log files via the {{{cron.daily}}} script {{{/etc/cron.daily/sysklogd}}} instead of using logrotate. Actually, the utility {{{savelog}}} may produce unexpected results on log rotation which configuring {{{logrotate}}} seems to have no effect on. In those cases, you should check the cron.daily {{{sysklogd}}} script in {{{/etc/cron.daily/sysklogd}}} and read the {{{savelog}}} manual page to see if {{{savelog}}} is not in fact doing the rotation in a way that is not what you are specifying with {{{logrotate}}}.

== Additional Tips ==
Some additional tips for quickly viewing logs manually, (i.e. without a log file analyzer application) which may help you expediently locate the information you require.

=== Just the Beginning ===
You may look at just the beginning of any log file by using the {{{head}}} command. by default, {{{head}}} shows the first ten lines of any text file, so for example, if you wished to see the oldest entries in your Authorization Log file, a command such as the following could be used at a terminal prompt:

{{{head /var/log/auth.log}}}

If ten lines is not enough, and you need to see the first twenty-five (25) lines, then use {{{head}}} with the {{{-n}}} switch as such:

{{{head -n 25 /var/log/auth.log}}}

=== Just the End ===
The compliment to {{{head}}} of course is none other than the {{{tail}}} command. Can you guess what {{{tail}}} allows you to do? Say you need the last ten lines of the Kernel log for important messages from the kernel of late. A command such as the following entered into a terminal prompt should do:

{{{tail /var/log/kern.log}}}

Again, and as with {{{head}}}, you may get more than the default ten lines of output with {{{tail}}} by specifying the {{{-n}}} switch as such:

{{{tail -n 30 /var/log/kern.log}}}

to see the last thirty (30) lines of the Kernel log instead.

==== Real-Time Tail ====
Another neat use for the {{{tail}}} command is to use it for watching a log in 'real-time' by specifying the {{{-f}}} switch. For example, if you wished to watch in real-time as clients access your Apache2 server, issuing a command such as this from a terminal prompt would allow you to do so:

{{{tail -f /var/log/apache2/access.log}}}

You will see the log spit out, then stop, and as the Apache2 server is accessed, log entries will fly by in real-time! If you have a very busy server, they will fly by too fast for you to read them! You can use the {{{-f}}} switch to view any log file in this manner.

== Resources ==
Additional information on system, and application logs, and syslogd is available via the following resources:

=== Local System Resources ===

||<style="background:#F1F1ED;">{{{man dmesg}}}|| System manual page for the {{{dmesg}}} kernel ring buffer utility||
||<style="background:#F1F1ED;">{{{man faillog}}}|| System manual page for the {{{faillog}}} command (and also the faillog configuration file via {{{man 5 faillog}}})||
||<style="background:#F1F1ED;">{{{man grep}}}|| System manual page for the {{{grep}}} pattern searching utility||
||<style="background:#F1F1ED;">{{{man head}}}|| System manual page for the {{{head}}} utility||
||<style="background:#F1F1ED;">{{{man klogd}}}|| System manual page for the kernel log daemon ({{{klogd}}})||
||<style="background:#F1F1ED;">{{{man last}}}|| System manual for the {{{last}}} command which shows last logged in users||
||<style="background:#F1F1ED;">{{{man less}}}|| System manual page for the {{{less}}} paging utility||
||<style="background:#F1F1ED;">{{{man logger}}}|| System manual page for the {{{logger}}} command-line interface to syslog utility||
||<style="background:#F1F1ED;">{{{man logrotate}}}|| System manual page for the the {{{logrotate}}} utility||
||<style="background:#F1F1ED;">{{{man savelog}}}|| System manual page for the {{{savelog}}} log file saving utility||
||<style="background:#F1F1ED;">{{{man syslogd}}}|| System manual page for the system log daemon ({{{syslogd}}})||
||<style="background:#F1F1ED;">{{{man syslog.conf}}}|| System manual page for the {{{syslogd}}} configuration file||
||<style="background:#F1F1ED;">{{{man tail}}}|| System manual page for the {{{tail}}} utility||

=== WWW Resources ===

[http://www.samag.com/documents/s=1146/sam0109m/0109m.htm Checking Your System Logs with awk]

[http://www.linuxvoodoo.com/resources/howtos/syslog/ Syslog - Watching Your Logs]

[http://www-128.ibm.com/developerworks/linux/library/l-roadmap5/ Windows-to-Linux roadmap: Part 5. Linux logging (IBM)]

[http://www.linuxsecurity.com/content/view/116430/151/ Sawing Linux Logs With Simple Tools]
Il file `/var/log/auth.log` verrà stampato a schermo. Per consultarlo usare i seguenti tasti:
 * '''le freccie direzionali''' per scorrere il file riga per riga;
 * '''BARRA SPAZIATRICE''' per andare avanti;
 * '''B''' per andare indietro;
 * '''Q''' per terminare.

La ricerca all'interno dei file di log può risultare lunga e difficoltosa a causa delle loro dimensioni. Tale operazione può essere però semplificata attraverso l'uso combinato dei comandi '''less''' e '''grep''', che si occuperà di ricercare stringhe o pattern definiti dall'utente. Di seguito, come esempio, il comando per cercare il termine «`gnome-keyring`» nel file `/var/log/auth.log`:{{{
grep gnome-keyring /var/log/auth.log | less
}}}

== Esaminare i log con i comandi head e tail ==

I comandi '''head''' e '''tail''' permettono di consultare rispettivamente l'inizio o la fine di un registro.<<BR>>
Come impostazione di predefinita mostrano le prime dieci righe o le ultime dieci di un qualsiasi file di testo.

Ad esempio, per consultare gli eventi meno recenti registrati nel log di autorizzazione, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando:{{{
head /var/log/auth.log
}}}
Viceversa, per consultare i più recenti il comando sarà:{{{
tail /var/log/auth.log
}}}

Tuttavia è anche possibile consultare un numero diverso di righe aggiungendo l'opzione '''-n''' ai comandi precedenti. Ad esempio per consultare le prime venticinque righe del file `kern.log` digitare:{{{
head -n 25 /var/log/kern.log
}}}
Per consultare invece le ultime venticinque righe dello stesso file digitare:{{{
tail -n 25 /var/log/kern.log
}}}

== Esaminare log in tempo reale ==

Aggiungendo l'opzione '''-f''' («''follow''») al comando '''tail''' è possibile consultare un registro in tempo reale. Per esempio se si desidera monitorare un server '''apache''', visualizzando i nuovi client che man mano vi effettuano l'accesso, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
tail -f /var/log/apache2/access.log
}}}

= Registri di sistema =

Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che riguardano il funzionamento del sistema, non necessariamente correlati alle altre applicazioni.

Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi e ai log di sistema veri e propri, detti anche '''syslog'''.

<<Anchor(autorizzazione)>>
== Log di autorizzazione ==

Tale log traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attraverso l'inserimento della propria password: il sistema '''[[https://it.wikipedia.org/wiki/Pluggable_authentication_modules|PAM]]''', il comando '''[[AmministrazioneSistema/PrivilegiDiAmministrazione|sudo]]''', l'accesso remoto da shell via '''[[InternetRete/DesktopRemoto/OpenSsh|ssh]]''' ecc.

 * '''Posizione''': `/var/log/auth.log`

 * '''Esempio''': {{{
grep ssh /var/log/auth.log | less
}}}

== Log di debug ==

Il log di debug fornisce i dettagli dei messaggi di debug provenienti dal sistema e dalle applicazioni quando utilizzano il demone '''rsyslogd''' a livello di «DEBUG». Questi messaggi sono utili per il [[https://it.wikipedia.org/wiki/Debugging|debug]] di applicazioni, driver e servizi.

Potrebbe essere necessario abilitare il log di debug con le istruzioni di [[https://www.rsyslog.com/doc/master/troubleshooting/howtodebug.html|questa guida]].

 * '''Posizione''': `/var/log/debug`

 * '''Esempio''': {{{
grep ACPI /var/log/debug | less
}}}

== Log del kernel ==

Il registro di attività del kernel fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, ad esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel.

 * '''Posizione''': `/var/log/kern.log`

 * '''Esempio''': {{{
grep CPU /var/log/kern.log | less
}}}

<<Anchor(kernelring)>>
== Kernel ring buffer ==

Il ''kernel ring buffer'' non è un vero e proprio file di log. È piuttosto da considerarsi una struttura di dati che registra costantemente le operazioni del kernel, e che quindi può essere interrogata in caso di necessità (ad esempio per informazioni sui messaggi di avvio del kernel stesso).<<BR>>
Per consultarlo è sufficiente usare il comando '''dmesg'''. Infatti per visualizzare tutti i messaggi inviati dal kernel durante la fase di avvio digitare il seguente comando in un [[AmministrazioneSistema/Terminale|terminale]]:{{{
dmesg | less
}}}

Come per altri comandi, è possibile usarlo insieme al comando '''grep''', allo scopo di ricercare informazioni più specifiche:{{{
dmesg | grep pnp | less
}}}

{{{#!wiki tip
All'avvio del sistema, per impostazione predefinita, lo script `/etc/init.d/bootmisc.sh` lancia il comando '''dmesg''' e ne memorizza i risultati all'interno di `/var/log/dmesg`. Tale file può essere consultato come un qualsiasi altro file di registro.
}}}

##== Log dei messaggi ==
##file /var/log/messages assente da 11.04 e successive! È integrato in /var/log/syslog, ma è possibile riabilitarlo.
##
##Questo log contiene i messaggi di informazioni delle applicazioni e degli strumenti di sistema. Questo registro è utile per esaminare messaggi di output provenienti dalle applicazioni e dagli strumenti di sistema che sfruttano il ##servizio '''rsyslogd''' a livello di «INFO».
##
## * '''Posizione''': `/var/log/messages`
##
## * '''Esempio''': {{{
##grep gconfd /var/log/messages | less
##}}}

== Registro di sistema ==

Il registro di sistema contiene la stragrande maggioranze delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in `/var/log/syslog` e contiene tutte le altre informazioni non gestite dagli altri registri.

Può essere utile consultare questo file di registro quando le informazioni desiderate non sono presenti negli altri log.

== systemd (journal) ==

Il gestore di servizi '''[[AmministrazioneSistema/Systemd|systemd]]''' ha un proprio strumento di log chiamato '''journal'''. È uno strumento più recente di '''Syslog''', al quale può essere considerato complementare.

In Ubuntu i log di '''journal''' sono conservati nella directory `/var/log/journal`. Per visualizzare il log di systemd digitare nel [[AmministrazioneSistema/Terminale|terminale]]:{{{
journalctl
}}}

Può essere utilizzato con numerose opzioni. Di seguito sono mostrati alcuni esempi:

 * Mostrare le voci relative al riavvio più recente:{{{
journalctl -b
}}}

 * Limitare l'output ad un intervallo temporale:{{{
journalctl --since yesterday
journalctl --since "2022-01-10" --until "2023-01-10 08:00"
}}}

 * Visualizzare le voci relative al kernel:{{{
journalctl -k
}}}

 * Visualizzare le voci specifiche di un processo, conoscendo il relativo PID:{{{
journalctl _PID=11492
}}}

Per maggiori informazioni sulle altre funzionalità digitare il comando:{{{
man journalctl
}}}

Lo strumento può essere configurato tramite il file `/etc/systemd/journald.conf`, decommentando le righe di proprio interesse e inserendo il valore desiderato. Ad esempio con il seguente parametro è possibile specificare lo spazio massimo su disco che può essere utilizzato dal journald:{{{
SystemMaxUse=N
}}}

= Registri delle applicazioni =

Oltre ai tantissimi log specifici del sistema, è possibile accedere anche ai diversi altri log usati da determinate applicazioni.

Elencando il contenuto della sottodirectory `/var/log` è possibile notare dei file contenenti i nomi di alcune applicazioni installate (`/var/log/apache2` come log del server '''Apache''', `/var/log/samba` per il server '''Samba''', `/var/log/wmware-installer` per '''VMware''' ecc.). Questa sezione riporta alcuni esempi specifici dei registri di applicazioni (in particolare quelle usate in ambito server) e le informazioni in essi contenute.

== Registro di Apache ==

I file di registro di '''[[Server/Apache|apache]]''' vengono memorizzati nella cartella `/var/log/apache2`. All'interno di questa directory sono presenti due differenti file di log: `/var/log/apache2/access.log` contenente le informazioni riguardanti le richieste di accesso al server, `/var/log/apache2/error.log` contenente i messaggi d'errore.

 * '''Posizione''': `/var/log/apache2/`

 * '''Esempi''': {{{
grep "82.211.81.166" /var/log/apache2/access.log | less
grep "Mac OS X" /var/log/apache2/access.log | less
grep "shutting down" /var/log/apache2/error.log | less
}}}

== Registro del sistema di stampa CUPS ==

Anche '''CUPS''' ('''Common Unix Printing System''') registra la propria attività all'interno di un file di log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale registro potrebbe rivelarsi un buon punto di partenza.

 * '''Posizione''': `/var/log/cups/error_log`

 * '''Esempio''': {{{
grep reload /var/log/cups/error_log | less
}}}

== Log di Rootkit Hunter ==

Il comando '''[[Sicurezza/RootkitHunter|rkhunter]]''' effettua dei controlli nel sistema per verificare la presenza di ''backdoor'', ''sniffer'', ''rootkit'' e altre applicazioni indesiderate.

 * '''Posizione''': `/var/log/rkhunter.log`

 * '''Esempio''': {{{
grep WARNING /var/log/rkhunter.log | less
}}}

== Registro di Samba ==

Il server '''[[Server/Samba|Samba]]''' è solitamente usato per la condivisione di file fra sistemi compatibili. '''Samba''' conserva tre tipi di log differenti nella sottodirectory `/var/log/samba`:

 * `log.nmbd`: annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP;
 * `log.smbd`: annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba;
 * `log.[IP_ADDRESS]`: annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel nome del file, per esempio `log.192.168.1.1`.

 * '''Posizione''': `/var/log/samba`

 * '''Esempio''': {{{
grep "master browser" /var/log/samba/log.nmbd | less
less /var/log/samba/log.nmbd
grep started /var/log/samba/log.smbd | less
less /var/log/samba/log.192.168.99.99
}}}

== Registro di X ==

Il server grafico '''[[Hardware/Video/Xorg|X]]''' memorizza le proprie attività all'interno del file `/var/log/Xorg.0.log`.

 * '''Posizione''': `/var/log/Xorg.0.log`

 * '''Esempio''': {{{
grep freetype /var/log/Xorg.0.log | less
}}}

= Log non umanamente intellegibili =

Tra i vari file presenti in `/var/log` ve ne sono alcuni destinati ad essere letti da particolari applicazioni, non necessariamente da esseri umani. Quelli che seguono sono degli esempi di questi particolari tipi di registro.

== Registro degli accessi falliti ==

È possibile visualizzare il log degli accessi falliti al sistema tramite il comando '''faillog'''.

 * '''Posizione''': `/var/log/faillog`

 * '''Esempio''': {{{
faillog
}}}

== Registro degli ultimi accessi ==

È possibile esaminare il registro degli ultimi accessi effettuati tramite il comando '''lastlog'''.

 * '''Posizione''': `/var/log/lastlog`

 * '''Esempio''': {{{
lastlog | less
}}}

== Registro degli accessi ==

È possibile esaminare il registro in questione in modo da conoscere gli utenti attualmente loggati nel sistema attraverso il comando '''who'''.

 * '''Posizione''': {{{/var/log/wtmp}}}

 * '''Esempio''': {{{
who
}}}

= System Logging Daemon =

'''rsyslogd''' ('''rocket-fast system for log processing''') è un servizio di sistema che ha il compito di gestire, ricevere, reindirizzare (in locale o attraverso la rete) e memorizzare i messaggi di log proveniente dagli altri sottosistemi (servizi, applicazioni ecc.).<<BR>>
Su Ubuntu '''rsyslogd''' ha da tempo sostituito '''syslogd''', un servizio equivalente precedentemente utilizzato nei sistemi unix-like, con cui è in gran parte retrocompatibile (ad esempio possono essere facilmente esportate le regole di '''syslogd''' in '''rsyslogd''').

Nelle ultime versioni di Ubuntu il demone viene gestito da '''systemd'''. Per verificarne lo stato digitare il comando:{{{
systemctl status rsyslog
}}}
Per informazioni su ulteriori operazioni (arrestare, riavviare il servizio ecc.) consultare [[AmministrazioneSistema/Systemd|questa guida]].

== Configurazione ==

Il file `/etc/rsyslog.conf` contiene la configurazione del servizio '''rsyslogd'''. Per informazioni sul contenuto digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{
man /etc/rsyslog.conf
}}}

== Inviare messaggi al registro di sistema ==

Una delle funzionalità del comando '''logger''' permette di inserire messaggi in uno dei log di sistema in modo arbitrario. Questo è uno strumento molto potente che è possibile usare quando è necessario inserire delle informazioni all'interno del log del sistema, oppure all'interno di script amministrativi.

Il seguente esempio mostra un ipotetico utente `mario` che inserisce un messaggio in `/var/log/syslog` dopo una modifica effettuata ad un file di configurazione del sistema:{{{
logger Ho modificato il file /etc/fstab
}}}

Nel file `/var/log/syslog` comparirà una riga simile alla seguente:{{{
Jan 12 23:17:02 localhost mario: Ho modificato il file /etc/fstab
}}}

{{{#!wiki tip
È possibile usare il comando '''logger''' all'interno di [[Programmazione/Script|script]], i cui risultati saranno visibili sia come output nel terminale sia all'interno del file `/var/log/syslog`.
}}}

== Rotazione dei log ==

##completare guida su logrotate e inserire link

A intervalli di tempo predefiniti i file di log vengono ''ruotati''. Ciò vuol dire che vengono rinominati automaticamente e sostituiti da nuovi file, poi compressi con '''gzip''' allo scopo di ridurre lo spazio necessario alla loro memorizzazione, mantenendoli comunque disponibili per controlli futuri.

Il comando '''logrotate''' si occupa della rotazione dei file di log. Di norma '''logrotate''' viene lanciato a intervalli periodici dal servizio [[AmministrazioneSistema/Cron|cron]].<<BR>>
Il file di configurazione risiede in `/etc/logrotate.conf`.

<<Anchor(risorse)>>
= Ulteriori risorse =

 * [[https://help.ubuntu.com/community/LinuxLogFiles|Documento originale del wiki internazionale]] (non aggiornato)
 * [[https://wiki.ubuntu.com/FoundationsTeam/Specs/Rsyslogd|Rsyslogd sul wiki internazionale]]
 * [[https://wiki.debian.org/Rsyslog|Rsyslog]] (Wiki Debian internazionale)
 * [[https://guide.debianizzati.org/index.php/Old:Configurare_un_server_Syslog_su_Debian|Server Syslog su Debian]]
 * [[https://github.com/rsyslog/rsyslog|GitHub rsyslog]]
 * [[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-viewing_and_managing_log_files|Viewing and Managing Log Files]] (Documentazione Red Hat)
 * [[https://www.linuxfoundation.org/blog/blog/classic-sysadmin-viewing-linux-logs-from-the-command-line|Viewing Linux Logs from the Command Line]]
 * [[https://manpages.ubuntu.com/manpages/bionic/man1/journalctl.1.html|journalctl]] (pagina man)
 * [[https://discourse.ubuntu.com/t/viewing-and-monitoring-log-files/13947|Viewing and monitoring log files]] (tutorial)
 * [[https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs|How To Use Journalctl to View and Manipulate Systemd Logs]] (articolo Community Digital Ocean]]
Linea 332: Linea 336:
CategoryDaRevisionare CategoryAmministrazione


Guida verificata con Ubuntu: 20.04 22.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Uno degli aspetti fondamentali dei sistemi GNU/Linux è il logging, ovvero la registrazione di tutto ciò che accade nel sistema.
Queste informazioni hanno un valore inestimabile per utilizzare il sistema in modo cosciente. Inoltre rientrano fra le prime risorse che è bene controllare per la risoluzione di eventuali problemi e per la ricerca delle relative soluzioni. Infatti i file di log memorizzano tutte le informazioni riguardanti lo stato del sistema e delle applicazioni, compresi eventuali errori.

Ubuntu fornisce informazioni essenziali su eventi, operazioni e altre funzionalità attraverso la registrazione di diverse tipologie file di log.
Tranne alcune eccezioni, tali file:

  • sono semplici file di testo in formato ASCII standard.

  • vengono generalmente memorizzati in /var/log, la sottodirectory di sistema appositamente dedicata.

  • possono essere generati dal demone di sistema rsyslogd oppure creati e gestiti direttamente dalle applicazioni.

Questa guida descrive, fra le varie cose:

  • i principali log di sistema e delle applicazioni, nonché il loro contenuto.
  • alcuni modi per consultare tali log e registri tramite riga di comando al fine di estrarre informazioni utili, con l'aiuto di esempi pratici.

  • alcuni usi principali del demone di registrazione del sistema rsyslogd, di dmesg e di journal.

Esaminare i file di registro

I file di log possono contenere un numero tale di righe che potrebbero risultare scomodi da consultare tramite il comando cat o con i principali editor di testo. Quindi è possibile utilizzare alcuni comandi di base, fra cui alcuni più specifici come head e tail.

Alcuni file necessitano dei privilegi di amministrazione per essere letti.

Lettura dei log con i comandi di base

Per visualizzare il contenuto di un file con il comando less è sufficiente postporre il nome del file al comando, con una sintassi simile alla seguente:

less /var/log/auth.log

Il file /var/log/auth.log verrà stampato a schermo. Per consultarlo usare i seguenti tasti:

  • le freccie direzionali per scorrere il file riga per riga;

  • BARRA SPAZIATRICE per andare avanti;

  • B per andare indietro;

  • Q per terminare.

La ricerca all'interno dei file di log può risultare lunga e difficoltosa a causa delle loro dimensioni. Tale operazione può essere però semplificata attraverso l'uso combinato dei comandi less e grep, che si occuperà di ricercare stringhe o pattern definiti dall'utente. Di seguito, come esempio, il comando per cercare il termine «gnome-keyring» nel file /var/log/auth.log:

grep gnome-keyring /var/log/auth.log | less

Esaminare i log con i comandi head e tail

I comandi head e tail permettono di consultare rispettivamente l'inizio o la fine di un registro.
Come impostazione di predefinita mostrano le prime dieci righe o le ultime dieci di un qualsiasi file di testo.

Ad esempio, per consultare gli eventi meno recenti registrati nel log di autorizzazione, digitare nel terminale il comando:

head /var/log/auth.log

Viceversa, per consultare i più recenti il comando sarà:

tail /var/log/auth.log

Tuttavia è anche possibile consultare un numero diverso di righe aggiungendo l'opzione -n ai comandi precedenti. Ad esempio per consultare le prime venticinque righe del file kern.log digitare:

head -n 25 /var/log/kern.log

Per consultare invece le ultime venticinque righe dello stesso file digitare:

tail -n 25 /var/log/kern.log

Esaminare log in tempo reale

Aggiungendo l'opzione -ffollow») al comando tail è possibile consultare un registro in tempo reale. Per esempio se si desidera monitorare un server apache, visualizzando i nuovi client che man mano vi effettuano l'accesso, digitare nel terminale il seguente comando:

tail -f /var/log/apache2/access.log

Registri di sistema

Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che riguardano il funzionamento del sistema, non necessariamente correlati alle altre applicazioni.

Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi e ai log di sistema veri e propri, detti anche syslog.

Log di autorizzazione

Tale log traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attraverso l'inserimento della propria password: il sistema PAM, il comando sudo, l'accesso remoto da shell via ssh ecc.

  • Posizione: /var/log/auth.log

  • Esempio:

    grep ssh /var/log/auth.log | less

Log di debug

Il log di debug fornisce i dettagli dei messaggi di debug provenienti dal sistema e dalle applicazioni quando utilizzano il demone rsyslogd a livello di «DEBUG». Questi messaggi sono utili per il debug di applicazioni, driver e servizi.

Potrebbe essere necessario abilitare il log di debug con le istruzioni di questa guida.

  • Posizione: /var/log/debug

  • Esempio:

    grep ACPI /var/log/debug | less

Log del kernel

Il registro di attività del kernel fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, ad esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel.

  • Posizione: /var/log/kern.log

  • Esempio:

    grep CPU /var/log/kern.log | less

Kernel ring buffer

Il kernel ring buffer non è un vero e proprio file di log. È piuttosto da considerarsi una struttura di dati che registra costantemente le operazioni del kernel, e che quindi può essere interrogata in caso di necessità (ad esempio per informazioni sui messaggi di avvio del kernel stesso).
Per consultarlo è sufficiente usare il comando dmesg. Infatti per visualizzare tutti i messaggi inviati dal kernel durante la fase di avvio digitare il seguente comando in un terminale:

dmesg | less

Come per altri comandi, è possibile usarlo insieme al comando grep, allo scopo di ricercare informazioni più specifiche:

dmesg | grep pnp | less

All'avvio del sistema, per impostazione predefinita, lo script /etc/init.d/bootmisc.sh lancia il comando dmesg e ne memorizza i risultati all'interno di /var/log/dmesg. Tale file può essere consultato come un qualsiasi altro file di registro.

Registro di sistema

Il registro di sistema contiene la stragrande maggioranze delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in /var/log/syslog e contiene tutte le altre informazioni non gestite dagli altri registri.

Può essere utile consultare questo file di registro quando le informazioni desiderate non sono presenti negli altri log.

systemd (journal)

Il gestore di servizi systemd ha un proprio strumento di log chiamato journal. È uno strumento più recente di Syslog, al quale può essere considerato complementare.

In Ubuntu i log di journal sono conservati nella directory /var/log/journal. Per visualizzare il log di systemd digitare nel terminale:

journalctl

Può essere utilizzato con numerose opzioni. Di seguito sono mostrati alcuni esempi:

  • Mostrare le voci relative al riavvio più recente:

    journalctl -b
  • Limitare l'output ad un intervallo temporale:

    journalctl --since yesterday
    journalctl --since "2022-01-10" --until "2023-01-10 08:00"
  • Visualizzare le voci relative al kernel:

    journalctl -k
  • Visualizzare le voci specifiche di un processo, conoscendo il relativo PID:

    journalctl _PID=11492

Per maggiori informazioni sulle altre funzionalità digitare il comando:

man journalctl

Lo strumento può essere configurato tramite il file /etc/systemd/journald.conf, decommentando le righe di proprio interesse e inserendo il valore desiderato. Ad esempio con il seguente parametro è possibile specificare lo spazio massimo su disco che può essere utilizzato dal journald:

SystemMaxUse=N

Registri delle applicazioni

Oltre ai tantissimi log specifici del sistema, è possibile accedere anche ai diversi altri log usati da determinate applicazioni.

Elencando il contenuto della sottodirectory /var/log è possibile notare dei file contenenti i nomi di alcune applicazioni installate (/var/log/apache2 come log del server Apache, /var/log/samba per il server Samba, /var/log/wmware-installer per VMware ecc.). Questa sezione riporta alcuni esempi specifici dei registri di applicazioni (in particolare quelle usate in ambito server) e le informazioni in essi contenute.

Registro di Apache

I file di registro di apache vengono memorizzati nella cartella /var/log/apache2. All'interno di questa directory sono presenti due differenti file di log: /var/log/apache2/access.log contenente le informazioni riguardanti le richieste di accesso al server, /var/log/apache2/error.log contenente i messaggi d'errore.

  • Posizione: /var/log/apache2/

  • Esempi:

    grep "82.211.81.166" /var/log/apache2/access.log | less
    grep "Mac OS X" /var/log/apache2/access.log | less
    grep "shutting down" /var/log/apache2/error.log | less

Registro del sistema di stampa CUPS

Anche CUPS (Common Unix Printing System) registra la propria attività all'interno di un file di log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale registro potrebbe rivelarsi un buon punto di partenza.

  • Posizione: /var/log/cups/error_log

  • Esempio:

    grep reload /var/log/cups/error_log | less

Log di Rootkit Hunter

Il comando rkhunter effettua dei controlli nel sistema per verificare la presenza di backdoor, sniffer, rootkit e altre applicazioni indesiderate.

  • Posizione: /var/log/rkhunter.log

  • Esempio:

    grep WARNING /var/log/rkhunter.log | less

Registro di Samba

Il server Samba è solitamente usato per la condivisione di file fra sistemi compatibili. Samba conserva tre tipi di log differenti nella sottodirectory /var/log/samba:

  • log.nmbd: annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP;

  • log.smbd: annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba;

  • log.[IP_ADDRESS]: annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel nome del file, per esempio log.192.168.1.1.

  • Posizione: /var/log/samba

  • Esempio:

    grep "master browser" /var/log/samba/log.nmbd | less
    less /var/log/samba/log.nmbd
    grep started /var/log/samba/log.smbd | less
    less /var/log/samba/log.192.168.99.99

Registro di X

Il server grafico X memorizza le proprie attività all'interno del file /var/log/Xorg.0.log.

  • Posizione: /var/log/Xorg.0.log

  • Esempio:

    grep freetype /var/log/Xorg.0.log | less

Log non umanamente intellegibili

Tra i vari file presenti in /var/log ve ne sono alcuni destinati ad essere letti da particolari applicazioni, non necessariamente da esseri umani. Quelli che seguono sono degli esempi di questi particolari tipi di registro.

Registro degli accessi falliti

È possibile visualizzare il log degli accessi falliti al sistema tramite il comando faillog.

  • Posizione: /var/log/faillog

  • Esempio:

    faillog

Registro degli ultimi accessi

È possibile esaminare il registro degli ultimi accessi effettuati tramite il comando lastlog.

  • Posizione: /var/log/lastlog

  • Esempio:

    lastlog | less

Registro degli accessi

È possibile esaminare il registro in questione in modo da conoscere gli utenti attualmente loggati nel sistema attraverso il comando who.

  • Posizione: /var/log/wtmp

  • Esempio:

    who

System Logging Daemon

rsyslogd (rocket-fast system for log processing) è un servizio di sistema che ha il compito di gestire, ricevere, reindirizzare (in locale o attraverso la rete) e memorizzare i messaggi di log proveniente dagli altri sottosistemi (servizi, applicazioni ecc.).
Su Ubuntu rsyslogd ha da tempo sostituito syslogd, un servizio equivalente precedentemente utilizzato nei sistemi unix-like, con cui è in gran parte retrocompatibile (ad esempio possono essere facilmente esportate le regole di syslogd in rsyslogd).

Nelle ultime versioni di Ubuntu il demone viene gestito da systemd. Per verificarne lo stato digitare il comando:

systemctl status rsyslog

Per informazioni su ulteriori operazioni (arrestare, riavviare il servizio ecc.) consultare questa guida.

Configurazione

Il file /etc/rsyslog.conf contiene la configurazione del servizio rsyslogd. Per informazioni sul contenuto digitare nel terminale il seguente comando:

man /etc/rsyslog.conf

Inviare messaggi al registro di sistema

Una delle funzionalità del comando logger permette di inserire messaggi in uno dei log di sistema in modo arbitrario. Questo è uno strumento molto potente che è possibile usare quando è necessario inserire delle informazioni all'interno del log del sistema, oppure all'interno di script amministrativi.

Il seguente esempio mostra un ipotetico utente mario che inserisce un messaggio in /var/log/syslog dopo una modifica effettuata ad un file di configurazione del sistema:

logger Ho modificato il file /etc/fstab

Nel file /var/log/syslog comparirà una riga simile alla seguente:

Jan 12 23:17:02 localhost mario: Ho modificato il file /etc/fstab

È possibile usare il comando logger all'interno di script, i cui risultati saranno visibili sia come output nel terminale sia all'interno del file /var/log/syslog.

Rotazione dei log

A intervalli di tempo predefiniti i file di log vengono ruotati. Ciò vuol dire che vengono rinominati automaticamente e sostituiti da nuovi file, poi compressi con gzip allo scopo di ridurre lo spazio necessario alla loro memorizzazione, mantenendoli comunque disponibili per controlli futuri.

Il comando logrotate si occupa della rotazione dei file di log. Di norma logrotate viene lanciato a intervalli periodici dal servizio cron.
Il file di configurazione risiede in /etc/logrotate.conf.

Ulteriori risorse


CategoryAmministrazione