25838
Commento: inserita breve spiegazione dei comandi less e grep
|
← Versione 106 del 18/02/2023 13.28.09 ⇥
17946
+ link a AmministrazioneSistema/LogDiSistema/Rotazione
|
Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
Linea 1: | Linea 1: |
## page was renamed from LogDiSistema ## page was renamed from LogFiles |
|
Linea 3: | Linea 5: |
[[BR]] ||<tablestyle="font-size: 18px; text-align: center; width:100%; background:red; margin: 0 0 0 0;" style="padding:0.5em;">'''ATTENZIONE! [[BR]][[BR]] Questa pagina è in revisione! '''|| [[BR]] [[BR]] ||<tablestyle="float:right; font-size: 0.9em; width:30%; background:#F1F1ED; margin: 0 0 1em 1em;" style="padding:0.5em;">'''Indice''' [[BR]] [[TableOfContents]]|| |
<<BR>> <<Indice(depth=2)>> <<Informazioni(forum="https://forum.ubuntu-it.org/viewtopic.php?p=3854842"; rilasci="22.04 20.04")>> |
Linea 11: | Linea 11: |
Uno degli aspetti fondamentali dei sistemi GNU/Linux è la registrazione di tutto ciò che accade nel sistema (logging). Queste informazioni hanno un valore inestimabile per utilizzare il sistema in modo cosciente, e dovrebbero essere fra le prime risorse utilizzate per la risoluzione dei problemi e la ricerca delle soluzioni. I ''file di log'' memorizzano tutte le informazioni riguardanti lo stato di salute del sistema e delle applicazioni. Ubuntu fornisce informazioni essenziali su eventi, operazioni ed altre funzionalità attraverso la registrazione di diversi file di log. Tali file non sono altro che semplici file di testo in formato ASCII standard: generalmente vengono memorizzati nella sottodirectory di sistema {{{/var/log}}}. La maggior parte file di log viene generata dal demone di sistema '''syslogd''', altri vengono invece creati e gestiti direttamente dalle applicazioni che ne salvano una propria copia direttamente in {{{/var/log}}}. La presente guida descrive i principali log di sistema ed il loro contenuto con degli esempi. Inoltre, verranno descritti alcuni esempi sul modo di estrarre le informazioni utili da tali registri, facendo uso dei soli strumenti disponibili da [:RigaDiComando:riga di comando]. Viene illustrato, inoltre, il funzionamento e la configurazione del demone di registrazione del sistema '''syslogd'''. |
Uno degli aspetti fondamentali dei sistemi GNU/Linux è il '''logging''', ovvero la registrazione di tutto ciò che accade nel sistema.<<BR>> Queste informazioni hanno un valore inestimabile per utilizzare il sistema in modo cosciente. Inoltre rientrano fra le prime risorse che è bene controllare per la risoluzione di eventuali problemi e per la ricerca delle relative soluzioni. Infatti i '''file di log''' memorizzano tutte le informazioni riguardanti lo stato del sistema e delle applicazioni, compresi eventuali errori. Ubuntu fornisce informazioni essenziali su eventi, operazioni e altre funzionalità attraverso la registrazione di diverse tipologie file di log.<<BR>> Tranne alcune eccezioni, tali file: * sono semplici file di testo in formato [[https://it.wikipedia.org/wiki/ASCII|ASCII]] standard. * vengono generalmente memorizzati in `/var/log`, la sottodirectory di sistema appositamente dedicata. * possono essere generati dal demone di sistema '''rsyslogd''' oppure creati e gestiti direttamente dalle applicazioni. Questa guida descrive, fra le varie cose: * i principali log di sistema e delle applicazioni, nonché il loro contenuto. * alcuni modi per consultare tali log e registri tramite [[AmministrazioneSistema/Terminale|riga di comando]] al fine di estrarre informazioni utili, con l'aiuto di esempi pratici. * alcuni usi principali del demone di registrazione del sistema '''rsyslogd''', di '''dmesg''' e di '''journal'''. |
Linea 28: | Linea 27: |
Per esaminare i file di registro si fa uso di alcuni semplici [:ComandiBase:comandi]. Per visualizzare il contenuto di un determinato file con il comando '''less''' è sufficiente postporre il nome del file al comando, con una sintassi simile alla seguente: {{{ |
I file di log possono contenere un numero tale di righe che potrebbero risultare scomodi da consultare tramite il comando '''cat''' o con i principali [[Ufficio/EditorDiTesto|editor di testo]]. Quindi è possibile utilizzare alcuni [[AmministrazioneSistema/ComandiBase|comandi di base]], fra cui alcuni più specifici come '''head''' e '''tail'''. {{{#!wiki note Alcuni file necessitano dei [[AmministrazioneSistema/PrivilegiDiAmministrazione/Sudo|privilegi di amministrazione]] per essere letti. }}} == Lettura dei log con i comandi di base == Per visualizzare il contenuto di un file con il comando '''less''' è sufficiente postporre il nome del file al comando, con una sintassi simile alla seguente:{{{ |
Linea 35: | Linea 39: |
Il file {{{/var/log/auth.log}}} verrà stampato a schermo, per scorrere il file riga per riga si possono usare le freccie direzionali, altrimenti, per scorrere di una pagina il contenuto, è possibile usare i tasti «'''BARRA SPAZIATRICE'''» (avanti) e «'''b'''» (indietro); per terminare il programma premere il tasto «'''q'''». La ricerca all'interno dei file di log può risultare lunga e difficoltosa a causa delle loro dimensioni. Tale operazione può essere però semplificata attraverso l'uso combinato dei comandi '''less''' e '''grep''', il quale si occuperà di ricercare stringhe o pattern definiti dall'utente. Di seguito viene mostrato un esempio: {{{ grep sshd /var/log/auth.log | less }}} Il precedente comando stamperà a schermo le righe del file contenenti la stringa o il pattern ricercati. |
Il file `/var/log/auth.log` verrà stampato a schermo. Per consultarlo usare i seguenti tasti: * '''le freccie direzionali''' per scorrere il file riga per riga; * '''BARRA SPAZIATRICE''' per andare avanti; * '''B''' per andare indietro; * '''Q''' per terminare. La ricerca all'interno dei file di log può risultare lunga e difficoltosa a causa delle loro dimensioni. Tale operazione può essere però semplificata attraverso l'uso combinato dei comandi '''less''' e '''grep''', che si occuperà di ricercare stringhe o pattern definiti dall'utente. Di seguito, come esempio, il comando per cercare il termine «`gnome-keyring`» nel file `/var/log/auth.log`:{{{ grep gnome-keyring /var/log/auth.log | less }}} == Esaminare i log con i comandi head e tail == I comandi '''head''' e '''tail''' permettono di consultare rispettivamente l'inizio o la fine di un registro.<<BR>> Come impostazione di predefinita mostrano le prime dieci righe o le ultime dieci di un qualsiasi file di testo. Ad esempio, per consultare gli eventi meno recenti registrati nel log di autorizzazione, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando:{{{ head /var/log/auth.log }}} Viceversa, per consultare i più recenti il comando sarà:{{{ tail /var/log/auth.log }}} Tuttavia è anche possibile consultare un numero diverso di righe aggiungendo l'opzione '''-n''' ai comandi precedenti. Ad esempio per consultare le prime venticinque righe del file `kern.log` digitare:{{{ head -n 25 /var/log/kern.log }}} Per consultare invece le ultime venticinque righe dello stesso file digitare:{{{ tail -n 25 /var/log/kern.log }}} == Esaminare log in tempo reale == Aggiungendo l'opzione '''-f''' («''follow''») al comando '''tail''' è possibile consultare un registro in tempo reale. Per esempio se si desidera monitorare un server '''apache''', visualizzando i nuovi client che man mano vi effettuano l'accesso, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{ tail -f /var/log/apache2/access.log }}} |
Linea 46: | Linea 76: |
Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzate tutti gli eventi che hanno a che fare con il funzionamento del sistema e non necessariamente con le altre applicazioni. Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi ed ai log di sistema veri e propri, detti anche ''syslog'' (da non confondere con il demone '''syslogd''' descritto in seguito). |
Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che riguardano il funzionamento del sistema, non necessariamente correlati alle altre applicazioni. Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi e ai log di sistema veri e propri, detti anche '''syslog'''. <<Anchor(autorizzazione)>> |
Linea 52: | Linea 83: |
Il log di autorizzazione traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attarverso l'inserimento della propria password, come ad esempio il sistema '''PAM''', il comando [:Sudo:sudo], l'accesso remoto da [:SSHHowto:shell ssh] e così via. * Posizione: `/var/log/auth.log` * Esaminare il file: {{{ less /var/log/auth.log }}} Premere «'''q'''» per chiudere il programma. * Recuperare informazioni specifiche: {{{ grep sshd /var/log/auth.log | less }}} Il file di log in questione risiede in `/var/log/auth.log`. Per esaminare il file di registro digitare seguente comando: {{{ less /var/log/auth.log }}} Le informazioni specifiche possono essere rintracciate attraverso il comando '''grep'''. Il seguente esempio ne illustra l'uso: {{{ grep sshd /var/log/auth.log | less |
Tale log traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attraverso l'inserimento della propria password: il sistema '''[[https://it.wikipedia.org/wiki/Pluggable_authentication_modules|PAM]]''', il comando '''[[AmministrazioneSistema/PrivilegiDiAmministrazione|sudo]]''', l'accesso remoto da shell via '''[[InternetRete/DesktopRemoto/OpenSsh|ssh]]''' ecc. * '''Posizione''': `/var/log/auth.log` * '''Esempio''': {{{ grep ssh /var/log/auth.log | less |
Linea 79: | Linea 93: |
Il log di debug è presente in {{{/var/log/debug}}} e fornisce dettagli, messaggi di debug proveniente dal sistema e dalle applicazioni che si appoggiano al demone '''syslogd''' a livello di «DEBUG». Questi messaggi sono utili per il debug di applicazioni, driver e servizi. Per esaminare il registo, digitare il seguente comando: {{{ less /var/log/debug }}} Le informazioni specifiche possono essere rintracciate attraverso il comando '''grep'''. Per esempio, per esaminare le informazioni pertinenti allo stato di '''acpi''' è possibile digitare il seguente comando: {{{ |
Il log di debug fornisce i dettagli dei messaggi di debug provenienti dal sistema e dalle applicazioni quando utilizzano il demone '''rsyslogd''' a livello di «DEBUG». Questi messaggi sono utili per il [[https://it.wikipedia.org/wiki/Debugging|debug]] di applicazioni, driver e servizi. Potrebbe essere necessario abilitare il log di debug con le istruzioni di [[https://www.rsyslog.com/doc/master/troubleshooting/howtodebug.html|questa guida]]. * '''Posizione''': `/var/log/debug` * '''Esempio''': {{{ |
Linea 91: | Linea 105: |
Il registro di attività del kernel {{{/var/log/kern.log}}} fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, per esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel. Per esaminare il registro, digitare il seguente comando: {{{ less /var/log/kern.log }}} Le informazioni specifiche possono essere rintracciate attraverso il comando '''grep'''. Per esempio, per esaminare le informazioni relative alla CPU è possibile digitare il seguente comando: {{{ |
Il registro di attività del kernel fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, ad esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel. * '''Posizione''': `/var/log/kern.log` * '''Esempio''': {{{ |
Linea 101: | Linea 113: |
== Kernel Ring Buffer == Il ''kernel ring buffer'' non è un vero e proprio file di log, ma piuttosto una area del kernel attualmente in uso che può essere interrogata in modo da informazioni riguardanti i messaggi di avvio del kernel stesso: a tale scopo è utile usare il comando '''dmesg'''. È possibile vedere tutti i messaggi inviati dal kernel durante la fase di avvio digitando il seguente comando in un terminale: {{{ |
<<Anchor(kernelring)>> == Kernel ring buffer == Il ''kernel ring buffer'' non è un vero e proprio file di log. È piuttosto da considerarsi una struttura di dati che registra costantemente le operazioni del kernel, e che quindi può essere interrogata in caso di necessità (ad esempio per informazioni sui messaggi di avvio del kernel stesso).<<BR>> Per consultarlo è sufficiente usare il comando '''dmesg'''. Infatti per visualizzare tutti i messaggi inviati dal kernel durante la fase di avvio digitare il seguente comando in un [[AmministrazioneSistema/Terminale|terminale]]:{{{ |
Linea 107: | Linea 121: |
Come al solito, è possibile usare una combinazione con il comando '''grep''', allo scopo di ricercare informazioni più specifiche: {{{ | Come per altri comandi, è possibile usarlo insieme al comando '''grep''', allo scopo di ricercare informazioni più specifiche:{{{ |
Linea 111: | Linea 125: |
||<tablestyle="text-align: justify; width:100%; " style="border:none;" 5%>[[Immagine(Icone/Piccole/note.png,,center)]] ||<style="padding:0.5em; border:none;">All'avvio del sistema, come impostazione predefinita, lo script {{{/etc/init.d/bootmisc.sh}}} lancia il comando '''dmesg''' e ne memorizza i risultati all'interno di {{{/var/log/dmesg}}}. Tale file può essere consultato come un qualsiasi altro file di registro. || == Log dei messaggi == Il log in questione, localizzato in {{{/var/log/messages}}}, contiene i messaggi di informazioni delle applicazioni e degli strumenti di sistema. Questo registro è utile per esaminare messaggi di output provenienti dalle applicazioni e dagli strumenti di sistema che sfruttano il servizio '''syslogd''' a livello di «INFO». Per esaminare tale file di registro digitare il seguente comando: {{{ less /var/log/messages }}} Per visualizzare delle informazioni più specifiche si può ricorrere alla combinazione dei comandi '''grep''' e '''less''', come illustrato nel seguente esempio: {{{ grep gconfd /var/log/messages | less }}} |
{{{#!wiki tip All'avvio del sistema, per impostazione predefinita, lo script `/etc/init.d/bootmisc.sh` lancia il comando '''dmesg''' e ne memorizza i risultati all'interno di `/var/log/dmesg`. Tale file può essere consultato come un qualsiasi altro file di registro. }}} ##== Log dei messaggi == ##file /var/log/messages assente da 11.04 e successive! È integrato in /var/log/syslog, ma è possibile riabilitarlo. ## ##Questo log contiene i messaggi di informazioni delle applicazioni e degli strumenti di sistema. Questo registro è utile per esaminare messaggi di output provenienti dalle applicazioni e dagli strumenti di sistema che sfruttano il ##servizio '''rsyslogd''' a livello di «INFO». ## ## * '''Posizione''': `/var/log/messages` ## ## * '''Esempio''': {{{ ##grep gconfd /var/log/messages | less ##}}} |
Linea 127: | Linea 142: |
Il registro di sistema contiene la stragrande maggioranze delle delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in {{{/var/log/syslog}}} e contiene tutte le altre informazioni non gestite dagli altri registri. È molto utile consultare questo file di registro quando le informazioni ricercate non sono presenti negli altri log citati in precedenza. = Log delle applicazioni = Oltre alla miriade di log specifici al sistema disponibili sul vostro sistema di Ubuntu, potete anche accedere ai diversi log che possono essere usati da determinate applicazioni. Se si elenca il contenuto della sottodirectory {{{/var/log}}} ,vedrete i nomi delle applicazioni che potete installare, come {{{/var/log/apache2}}} rappresenta il log del server Apache2 (HTTP), o {{{/var/log/samba}}}, che contiene i log del server Samba (SMB). Questa sezione della guida introduce alcuni esempi specifici dei logs di applicazioni e le informazioni contenute all'interno di loro. == Log del server Apache == I file di registro di '''apache''' vengono memorizzati nella cartella {{{/var/log/apache2}}}. All'interno di questa directory sono presenti due differenti file di log, uno contenente le informazioni riguardanti le richieste d'accesso al server ({{{/var/log/apache2/access.log}}}), l'altro per i messaggi d'errore ({{{/var/log/apache2/error.log}}}). Tramite i comandi '''grep''' e '''less''' è possibile ottenere tutte le informazioni desiderate dai sopra citati log, i.e per vedere quante richieste sono state ricevute dal server web dall'indirizzo '''82.211.81.166''' è sufficiente digitare il seguente comando: {{{ |
Il registro di sistema contiene la stragrande maggioranze delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in `/var/log/syslog` e contiene tutte le altre informazioni non gestite dagli altri registri. Può essere utile consultare questo file di registro quando le informazioni desiderate non sono presenti negli altri log. == systemd (journal) == Il gestore di servizi '''[[AmministrazioneSistema/Systemd|systemd]]''' ha un proprio strumento di log chiamato '''journal'''. È uno strumento più recente di '''Syslog''', al quale può essere considerato complementare. In Ubuntu i log di '''journal''' sono conservati nella directory `/var/log/journal`. Per visualizzare il log di systemd digitare nel [[AmministrazioneSistema/Terminale|terminale]]:{{{ journalctl }}} Può essere utilizzato con numerose opzioni. Di seguito sono mostrati alcuni esempi: * Mostrare le voci relative al riavvio più recente:{{{ journalctl -b }}} * Limitare l'output ad un intervallo temporale:{{{ journalctl --since yesterday journalctl --since "2022-01-10" --until "2023-01-10 08:00" }}} * Visualizzare le voci relative al kernel:{{{ journalctl -k }}} * Visualizzare le voci specifiche di un processo, conoscendo il relativo PID:{{{ journalctl _PID=11492 }}} Per maggiori informazioni sulle altre funzionalità digitare il comando:{{{ man journalctl }}} Lo strumento può essere configurato tramite il file `/etc/systemd/journald.conf`, decommentando le righe di proprio interesse e inserendo il valore desiderato. Ad esempio con il seguente parametro è possibile specificare lo spazio massimo su disco che può essere utilizzato dal journald:{{{ SystemMaxUse=N }}} = Registri delle applicazioni = Oltre ai tantissimi log specifici del sistema, è possibile accedere anche ai diversi altri log usati da determinate applicazioni. Elencando il contenuto della sottodirectory `/var/log` è possibile notare dei file contenenti i nomi di alcune applicazioni installate (`/var/log/apache2` come log del server '''Apache''', `/var/log/samba` per il server '''Samba''', `/var/log/wmware-installer` per '''VMware''' ecc.). Questa sezione riporta alcuni esempi specifici dei registri di applicazioni (in particolare quelle usate in ambito server) e le informazioni in essi contenute. == Registro di Apache == I file di registro di '''[[Server/Apache|apache]]''' vengono memorizzati nella cartella `/var/log/apache2`. All'interno di questa directory sono presenti due differenti file di log: `/var/log/apache2/access.log` contenente le informazioni riguardanti le richieste di accesso al server, `/var/log/apache2/error.log` contenente i messaggi d'errore. * '''Posizione''': `/var/log/apache2/` * '''Esempi''': {{{ |
Linea 140: | Linea 195: |
}}} Altrimenti, se si desidera conoscere quanti e quali client hanno usato per la navigazione il sistema operativo Mac OS X, è sufficiente digitare il seguente comando: {{{ |
|
Linea 145: | Linea 196: |
}}} In caso si una chiusura improvvisa del server, si può tentare di ricercarne le cause all'interno del registro degli errori, tramite un comando simile al seguente: {{{ |
|
Linea 152: | Linea 199: |
== Log del sistema di stampa CUPS == Il '''Common Unix Printing System''' (CUPS) memorizza il proprio registro all'interno del file {{{/var/log/cups/error_log}}}. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale log potrebbe rivelarsi un buon punto di partenza. È possibile esaminare il log digitando il seguente comando: {{{ less /var/log/cups/error_log }}} Attraverso l'uso combinato dei comandi '''grep''' e '''less''' è possibile visualizzare informazioni più specifiche. Per esempio, per vedere solo le informazioni presenti nel Log CUPS pertinenti al "Full reloads", dovete eseguire il segiente comando in un terminale: {{{ |
== Registro del sistema di stampa CUPS == Anche '''CUPS''' ('''Common Unix Printing System''') registra la propria attività all'interno di un file di log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale registro potrebbe rivelarsi un buon punto di partenza. * '''Posizione''': `/var/log/cups/error_log` * '''Esempio''': {{{ |
Linea 165: | Linea 211: |
L'opzione Rootkit Hunter ({{{rkhunter}}}) controlla il vostro sistema di Ubuntu per vedere se ci sono backdoors, sniffers, e i cosiddetti "rootkits", che sono tutti i segni compromettenti per il vostro sistema. Il log che rkhunter usa è localizzato in {{{/var/log/rkhunter.log}}} È possibile esaminare il log, dal punto di rotazione più recente, (se è applicabile) una pagina per lo schermo, usando il seguente comando: {{{ less /var/log/rkhunter.log }}} Informazioni specifiche possono essere raggiunte tramite il Log the Rootkit Hunter usando comandi come {{{grep}}}, e {{{less}}}. Per esempio, per vedere solo le informazioni nel Log the Rootkit Hunter pertinenti agli Errori, è necessario eseguire il seguente comando: {{{ |
Il comando '''[[Sicurezza/RootkitHunter|rkhunter]]''' effettua dei controlli nel sistema per verificare la presenza di ''backdoor'', ''sniffer'', ''rootkit'' e altre applicazioni indesiderate. * '''Posizione''': `/var/log/rkhunter.log` * '''Esempio''': {{{ |
Linea 173: | Linea 219: |
== Log del server Samba SMB == Il server SMB (Server Message Block Protocol), Samba è usato maggiormente per la condivisione dei file dal vostro computer Ubuntu ad altri computer che supportano il protocollo SMB. Samba conserve tre tipi di log differenti nella sottodirectory {{{/var/log/samba}}}: * {{{log.nmbd}}} : Annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP (le cose della rete) * {{{log.smbd}}} : Annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba (i file, disegni, etc. le cose condivise) * {{{log.[IP_ADDRESS]}}} : Annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel log file name, per esempio, {{{log.192.168.1.1}}}. Per vedere tutte le informazioni relative alla rete Samba, digitare il seguente comando in un terminale: {{{ |
== Registro di Samba == Il server '''[[Server/Samba|Samba]]''' è solitamente usato per la condivisione di file fra sistemi compatibili. '''Samba''' conserva tre tipi di log differenti nella sottodirectory `/var/log/samba`: * `log.nmbd`: annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP; * `log.smbd`: annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba; * `log.[IP_ADDRESS]`: annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel nome del file, per esempio `log.192.168.1.1`. * '''Posizione''': `/var/log/samba` * '''Esempio''': {{{ grep "master browser" /var/log/samba/log.nmbd | less |
Linea 183: | Linea 232: |
}}} Per vedere soltanto le informazioni annotate riguardante Master Browsers, digitare il seguente comando in un terminale: {{{ grep "master browser" /var/log/samba/log.nmbd | less }}} Se volete vedere i dettagli relativi alle funzionalità SMB di Samba, guardare il rispettivo log lanciando questo comando: {{{ less /var/log/samba/log.smbd }}} Per vedere soltanto le informazioni riguardanti l'avvio del server Samba, eseguire questo comando: {{{ |
|
Linea 195: | Linea 233: |
}}} Per osservare tutti i particolari sui collegamenti dal sistema del client con l'indirizzo IP ''192.168.99.99'' usare questo comando: {{{ |
|
Linea 201: | Linea 236: |
== Log del server X11 == L'X11 Windowing Server in uso con Ubuntu è il server Xorg X11, and assuming your computer has but one display defined, registra i messaggi del log nel file {{{/var/log/Xorg.0.log}}}. Questo log è utile per la diagnostica delle edizioni con il vostro ambiente X11. È possibile esaminare il log, dal punto di rotazione più recente, (se è applicabile) una pagina per lo schermo, usando il seguente comando: {{{ less /var/log/Xorg.0.log }}} Informazioni specifiche possono essere raggiunte dal Log Xorg usando comandi come {{{grep}}}, e {{{less}}}. Per esempio, per vedere solo le informazioni presenti nel Log Xorg pertinenti ai font freetype di engine, digitare questo comando in un terminale: {{{ |
== Registro di X == Il server grafico '''[[Hardware/Video/Xorg|X]]''' memorizza le proprie attività all'interno del file `/var/log/Xorg.0.log`. * '''Posizione''': `/var/log/Xorg.0.log` * '''Esempio''': {{{ |
Linea 213: | Linea 248: |
Tra i vari file presenti in {{{/var/log}}} ve ne sono alcuni che vengono creati per essere letti da particolari applicazioni, non necessariamente da essere umani. Quelli che seguono sono degli esempi di questo particolare tipo di log. == Log degli accessi falliti == Il log degli accessi falliti al sistema è collocato in {{{/var/log/faillog}}} è attualmente destinato a essere analizzato, per l'output digitare il comando '''faillog'''. Per esempio, per stampare gli ultimi login falliti usare il seguente comando: {{{ |
Tra i vari file presenti in `/var/log` ve ne sono alcuni destinati ad essere letti da particolari applicazioni, non necessariamente da esseri umani. Quelli che seguono sono degli esempi di questi particolari tipi di registro. == Registro degli accessi falliti == È possibile visualizzare il log degli accessi falliti al sistema tramite il comando '''faillog'''. * '''Posizione''': `/var/log/faillog` * '''Esempio''': {{{ |
Linea 221: | Linea 260: |
== Log degli ultimi accessi == Il log degli utlimi login presente in {{{/var/log/lastlog}}} potrebbe tipicamente non essere analizzato, ed esaminato, ma piuttosto dovrebbe essere usato insieme al comando '''lastlog'''. Per esempio, per vedere la lista dei login con il comando '''lastlog''', visualizzandola su una pagina con il comando '''less''', usare il seguente comando in un terminale: {{{ |
== Registro degli ultimi accessi == È possibile esaminare il registro degli ultimi accessi effettuati tramite il comando '''lastlog'''. * '''Posizione''': `/var/log/lastlog` * '''Esempio''': {{{ |
Linea 227: | Linea 270: |
== Log degli accessi == Il file {{{/var/log/wtmp}}} contiene le annotazioni di login, ma diversamente da {{{/var/log/lastlog}}} non è utilizzato per vedere la lista degli ultimi login, ma è usato soprattutto per altri strumenti come il comando {{{who}}} per presentare un elencato degli utenti attualmente loggati. Per esempio, per vedere chi attualmente è loggato sulla macchina che attualmente state usando , digitare il seguente comando: {{{ |
== Registro degli accessi == È possibile esaminare il registro in questione in modo da conoscere gli utenti attualmente loggati nel sistema attraverso il comando '''who'''. * '''Posizione''': {{{/var/log/wtmp}}} * '''Esempio''': {{{ |
Linea 233: | Linea 280: |
= System Logging Daemon (syslogd) = Il system logging daemon, o {{{syslogd}}} (spesso conosciuto come {{{sysklogd}}}) è un demone di sistema, o una speciale applicazione che lavora silenziosamente, e fa delle buone cose per il tuo sistema. Specificamente, {{{syslogd}}} attende i messaggi di log da numerosi sistemi,le risorse di applicazioni, and routes the messages to their proper target, be it a standard log file, a First In First Out (FIFO) pipe for use by a log analyzation application, or even across the network to another system's {{{syslogd}}}. I messaggi annotati a {{{syslogd}}} contengono solitamente gli elementi importanti , come gli hostnames del sistema, e tempo di stampa oltre che le informazioni specifiche del log da una fonte del sistema , il kernel Linux , o un'applicazione dell'utente. |
= System Logging Daemon = '''rsyslogd''' ('''rocket-fast system for log processing''') è un servizio di sistema che ha il compito di gestire, ricevere, reindirizzare (in locale o attraverso la rete) e memorizzare i messaggi di log proveniente dagli altri sottosistemi (servizi, applicazioni ecc.).<<BR>> Su Ubuntu '''rsyslogd''' ha da tempo sostituito '''syslogd''', un servizio equivalente precedentemente utilizzato nei sistemi unix-like, con cui è in gran parte retrocompatibile (ad esempio possono essere facilmente esportate le regole di '''syslogd''' in '''rsyslogd'''). Nelle ultime versioni di Ubuntu il demone viene gestito da '''systemd'''. Per verificarne lo stato digitare il comando:{{{ systemctl status rsyslog }}} Per informazioni su ulteriori operazioni (arrestare, riavviare il servizio ecc.) consultare [[AmministrazioneSistema/Systemd|questa guida]]. |
Linea 241: | Linea 292: |
La configurazione dettagliata di {{{syslogd}}} è oltre la portata di questa guida, ed il lettore è consigliato a raccogliere le informazioni supplementari attraverso la sezione '''Resources''' di questa guida per informazioni sulla corretta configurazione, e modificando la configurazione di {{{syslogd}}}. Il file che configura il comportamento del demone {{{syslogd}}} è {{{/etc/syslog.conf}}} ed è costituito principalmente da due parti, il selettore, e l'azione. The selector field consists of a facility, to be logged, such as for example the '''auth''' facility which deals with authorization, and a priority, or level to log such information at, such as '''info''', or '''warning''' priorities, which would log all messages at the informational priority and higher, or only at the warning level and higher respectively. The action field consists of a target for the log information, such as a standard log file (i.e. {{{/var/log/syslog}}}), or the hostname of a remote computer to send the log information to (e.g. @myotherubuntu). Il file di configurazione è molto flessibile, e potente in natura, allowing a seemingly infinite combination of logging to take place to fit the particular requirements your installation may have. == Echoing Messages to syslogd With Logger == Esiste una semplice utility nello strumento {{{logger}}}, che permette di inserire messaggi nel System Log (ad esempio {{{/var/log/syslog}}}) arbitrariamente. Questo è uno strumento molto potente, che è possibile usare in Administrative scripts come Perl, o in shell script per munirli di possibilità di log, o si può usare solo per inserire qualcosa nel log di sistema quando necessario. Per esempio, se il proprio nome utente è {{{buddha}}}, e si vuole inserire un messaggio nel syslog a proposito di una pizza particolarmente deliziosa che si sta mangiando, si può usare un commando come il seguente in un terminale: {{{logger This Pizza from Vinnys Gourmet Rocks }}} e dopo sarà presente una riga nel file {{{/var/log/syslog}}} come questa: {{{ Jan 12 23:17:02 localhost buddha: This Pizza from Vinnys Gourmet Rocks }}} Used in a little more professional manner in shell scripts, you can even specify a tag the messages come from, and redirect the output standard error too. This lets you have excellent error logging in a script, such as in this example snippet: {{{ #!/bin/bash # # sample logger error jive # logmsg="/usr/bin/logger -s -t MyScript " # announce what this script is, even to the log $logmsg "Directory Checker FooScript Jive 1.0" # test for the existence of Fred's home dir on this machine if [ -d /home/fred ]; then $logmsg "I. Fred's Home Directory Found" else $logmsg "E. Fred's Home Directory was NOT Found. Boo Hoo." exit 1 fi }}} Eseguendo questo script in questo modo {{{chkdir.sh}}} sulla macchina {{{butters}}} dovee Fred non ha una cartella home, {{{/home/fred}}}, dà i seguenti risultati: {{{ bumpy@butters:~$./chkdir.sh MyScript: Directory Checker FooScript Jive 1.0 MyScript: E. Fred's Home Directory was NOT Found. Boo Hoo. bumpy@butters:~$tail -n 2 /var/log/syslog Jan 12 23:23:11 localhost MyScript: Directory Checker FooScript Jive 1.0 Jan 12 23:23:11 localhost MyScript: E. Fred's Home Directory was NOT Found. Boo Hoo. }}} Quindi, come si vede, i messaggi sono stati ricevuti sia attraverso lo standard error, nel terminale, sia nel syslog! |
Il file `/etc/rsyslog.conf` contiene la configurazione del servizio '''rsyslogd'''. Per informazioni sul contenuto digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{ man /etc/rsyslog.conf }}} == Inviare messaggi al registro di sistema == Una delle funzionalità del comando '''logger''' permette di inserire messaggi in uno dei log di sistema in modo arbitrario. Questo è uno strumento molto potente che è possibile usare quando è necessario inserire delle informazioni all'interno del log del sistema, oppure all'interno di script amministrativi. Il seguente esempio mostra un ipotetico utente `mario` che inserisce un messaggio in `/var/log/syslog` dopo una modifica effettuata ad un file di configurazione del sistema:{{{ logger Ho modificato il file /etc/fstab }}} Nel file `/var/log/syslog` comparirà una riga simile alla seguente:{{{ Jan 12 23:17:02 localhost mario: Ho modificato il file /etc/fstab }}} {{{#!wiki tip È possibile usare il comando '''logger''' all'interno di [[Programmazione/Script|script]], i cui risultati saranno visibili sia come output nel terminale sia all'interno del file `/var/log/syslog`. }}} |
Linea 296: | Linea 314: |
Vedendo la lista delle cartelle in {{{/var/log}}} o in qualsiasi delle sue sottocartelle, è possibile incontrare file di log con nome come {{{daemon.log.0}}}, {{{daemon.log.1.gz}}}, e così via. Cosa sono questi file di log? Sono file di log 'ruotati'. Cioè, sono stati automaticamente rinominati dopo un intervallo di tempo predefinito, e un nuovo log originale è iniziato. Dopo qualche tempo i file di log sono compressi con l'utility {{{gzip}}} come nel caso dell'esempio {{{daemon.log.1.gz}}}. Il proposito della rotazione dei log è di archiviare e comprimere vecchi log così che consumino meno spazio su disco, ma siano ancora disponibili per un controllo se necessario. Come controllare questa funzionalità? Con il comando {{{logrotate}}} ovviamente! Normalmente, logrotate è chimato dallo sitem-wide script cron {{{/etc/cron.daily/logrotate}}}, e poi è definito dal file di configurazione {{{/etc/logrotate.conf}}}. Questa guida non coprirà la miriade di modi in cui la rotazione dei log può essere configurata per manipolare una rotazione automatica di qualsiasi file di log nel proprio sistema Ubuntu, ma piuttosto è consigliato l'uso della sezione '''Resources''' di questa guida, e studiare le pagine del manuale riguardo i requisiti per determinare come configurare la rotazione dei log per un particolare file di log, come necessario. '''NOTE:''' You may also rotate system log files via the {{{cron.daily}}} script {{{/etc/cron.daily/sysklogd}}} instead of using logrotate. Actually, the utility {{{savelog}}} may produce unexpected results on log rotation which configuring {{{logrotate}}} seems to have no effect on. In those cases, you should check the cron.daily '''sysklogd''' script in {{{/etc/cron.daily/sysklogd}}} and read the '''savelog''' manual page to see if '''savelog''' is not in fact doing the rotation in a way that is not what you are specifying with '''logrotate'''. = Consigli aggiuntivi = Qualche consiglio addizionale per vedere rapidamente i log manualmente, (ad esempio senza un'applicazione che analizzi i file log) che potrebbe aiutare a ottenere opportunamente le informazioni desiderate. == Solo l'inizio == È possibile guardare solo l'inizio di qualsiasi file log usando il comando {{{head}}}. Di default, {{{head}}} mostra le prime dieci righe di un qualsiasi file di testo, quindi per esempio, se si volessero vedere gli ingressi più vecchi nel proprio Authorization Log file, un comando come il seguente potrebbe essere usato in un terminale: {{{ head /var/log/auth.log }}} Se dieci righe non sono abbastanza, ed è necessario vedere le prime venticinque (25) righe, allora usare '''head''' con l'opzione '''-n''' come segue: {{{ head -n 25 /var/log/auth.log }}} == Solo la fine == The compliment to {{{head}}} of course is none other than the {{{tail}}} command. Can you guess what {{{tail}}} allows you to do? Say you need the last ten lines of the Kernel log for important messages from the kernel of late. A command such as the following entered into a terminal prompt should do: }}} Ancora, e come con {{{head}}}, magari si vuole avere più delle dieci righe di output di default con {{{tail}}}, specificando l'opzione {{{-n}}} così: {{{tail -n 30 /var/log/kern.log }}} ---- /!\ '''Edit conflict - other version:''' ---- per vedere le ultime trenta (30) righe del log del kernel invece. == Real-Time Tail == ---- /!\ '''Edit conflict - your version:''' ---- to see the last thirty (30) lines of the Kernel log instead. == Tail in tempo reale == ---- /!\ '''End of edit conflict''' ---- Un altro semplice utilizzo del comando {{{tail}}} serve a vedere un log in 'tempo reale' specificando l'opzione «-f». Per esempio, se si vuole guardare in tempo reale i client che accedono al proprio Apache2 server, dando un comando come questo da un terminale permetterà di fare ciò: {{{tail -f /var/log/apache2/access.log }}} Si vedrà il log sputato fuori, dopo fermo, e appena un ingresso è effettuato nel server Apache2, le entrate nel log appariranno in tempo reale! Se si ha un server molto occupato, appariranno troppo velocemente per leggerle! E' possibile utilizzare l'opzione «-f» per vedere qualsiasi file di log in questo modo. = Note = Per ottenere maggiori informazioni è possibile consultare le seguenti pagine di manuale: ||||<:>'''Pagine di manuale'''[[BR]]|| ||<style="background:#F1F1ED;">'''man dmesg'''|| System manual page for the '''dmesg''' kernel ring buffer utility|| ||<style="background:#F1F1ED;">'''man faillog'''|| System manual page for the '''faillog''' command (and also the faillog configuration file via '''man 5 faillog''')|| ||<style="background:#F1F1ED;">'''man grep'''|| System manual page for the '''grep''' pattern searching utility|| ||<style="background:#F1F1ED;">'''man head'''|| System manual page for the '''head''' utility|| ||<style="background:#F1F1ED;">'''man klogd'''|| System manual page for the kernel log daemon ('''klogd''')|| ||<style="background:#F1F1ED;">'''man last'''|| System manual for the '''last''' command which shows last logged in users|| ||<style="background:#F1F1ED;">'''man less'''|| System manual page for the '''less''' paging utility|| ||<style="background:#F1F1ED;">'''man logger'''|| System manual page for the '''logger''' command-line interface to syslog utility|| ||<style="background:#F1F1ED;">'''man logrotate'''|| System manual page for the the '''logrotate''' utility|| ||<style="background:#F1F1ED;">'''man savelog'''|| System manual page for the '''savelog''' log file saving utility|| ||<style="background:#F1F1ED;">'''man syslogd'''|| System manual page for the system log daemon ('''syslogd''')|| ||<style="background:#F1F1ED;">'''man syslog.conf'''|| System manual page for the '''syslogd''' configuration file|| ||<style="background:#F1F1ED;">'''man tail'''|| System manual page for the '''tail''' utility|| |
Ad intervalli di tempo predefiniti i file di log vengono ''ruotati''. Ciò vuol dire che vengono rinominati automaticamente e sostituiti da nuovi file, poi compressi con '''gzip''' allo scopo di ridurre lo spazio necessario alla loro memorizzazione, mantenendoli quindi disponibili per controlli futuri. Per maggiori informazioni consultare la [[AmministrazioneSistema/LogDiSistema/Rotazione|guida dedicata]]. <<Anchor(risorse)>> |
Linea 371: | Linea 321: |
* [https://help.ubuntu.com/community/LinuxLogFiles Documento originale] * [http://www.samag.com/documents/s=1146/sam0109m/0109m.htm Checking Your System Logs with awk] * [http://www.linuxvoodoo.com/resources/howtos/syslog/ Syslog - Watching Your Logs] * [http://www-128.ibm.com/developerworks/linux/library/l-roadmap5/ Windows-to-Linux roadmap: Part 5. Linux logging (IBM)] * [http://www.linuxsecurity.com/content/view/116430/151/ Sawing Linux Logs With Simple Tools] |
* [[https://help.ubuntu.com/community/LinuxLogFiles|Documento originale del wiki internazionale]] (non aggiornato) * [[https://wiki.ubuntu.com/FoundationsTeam/Specs/Rsyslogd|Rsyslogd sul wiki internazionale]] * [[https://wiki.debian.org/Rsyslog|Rsyslog]] (Wiki Debian internazionale) * [[https://guide.debianizzati.org/index.php/Old:Configurare_un_server_Syslog_su_Debian|Server Syslog su Debian]] * [[https://github.com/rsyslog/rsyslog|GitHub rsyslog]] * [[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-viewing_and_managing_log_files|Viewing and Managing Log Files]] (Documentazione Red Hat) * [[https://www.linuxfoundation.org/blog/blog/classic-sysadmin-viewing-linux-logs-from-the-command-line|Viewing Linux Logs from the Command Line]] * [[https://manpages.ubuntu.com/manpages/bionic/man1/journalctl.1.html|journalctl]] (pagina man) * [[https://discourse.ubuntu.com/t/viewing-and-monitoring-log-files/13947|Viewing and monitoring log files]] (tutorial) * [[https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs|How To Use Journalctl to View and Manipulate Systemd Logs]] (articolo Community Digital Ocean) |
Linea 378: | Linea 333: |
CategoryInTraduzione | CategoryAmministrazione |
Guida verificata con Ubuntu: 20.04 22.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Uno degli aspetti fondamentali dei sistemi GNU/Linux è il logging, ovvero la registrazione di tutto ciò che accade nel sistema.
Queste informazioni hanno un valore inestimabile per utilizzare il sistema in modo cosciente. Inoltre rientrano fra le prime risorse che è bene controllare per la risoluzione di eventuali problemi e per la ricerca delle relative soluzioni. Infatti i file di log memorizzano tutte le informazioni riguardanti lo stato del sistema e delle applicazioni, compresi eventuali errori.
Ubuntu fornisce informazioni essenziali su eventi, operazioni e altre funzionalità attraverso la registrazione di diverse tipologie file di log.
Tranne alcune eccezioni, tali file:
sono semplici file di testo in formato ASCII standard.
vengono generalmente memorizzati in /var/log, la sottodirectory di sistema appositamente dedicata.
possono essere generati dal demone di sistema rsyslogd oppure creati e gestiti direttamente dalle applicazioni.
Questa guida descrive, fra le varie cose:
- i principali log di sistema e delle applicazioni, nonché il loro contenuto.
alcuni modi per consultare tali log e registri tramite riga di comando al fine di estrarre informazioni utili, con l'aiuto di esempi pratici.
alcuni usi principali del demone di registrazione del sistema rsyslogd, di dmesg e di journal.
Esaminare i file di registro
I file di log possono contenere un numero tale di righe che potrebbero risultare scomodi da consultare tramite il comando cat o con i principali editor di testo. Quindi è possibile utilizzare alcuni comandi di base, fra cui alcuni più specifici come head e tail.
Alcuni file necessitano dei privilegi di amministrazione per essere letti.
Lettura dei log con i comandi di base
Per visualizzare il contenuto di un file con il comando less è sufficiente postporre il nome del file al comando, con una sintassi simile alla seguente:
less /var/log/auth.log
Il file /var/log/auth.log verrà stampato a schermo. Per consultarlo usare i seguenti tasti:
le freccie direzionali per scorrere il file riga per riga;
BARRA SPAZIATRICE per andare avanti;
B per andare indietro;
Q per terminare.
La ricerca all'interno dei file di log può risultare lunga e difficoltosa a causa delle loro dimensioni. Tale operazione può essere però semplificata attraverso l'uso combinato dei comandi less e grep, che si occuperà di ricercare stringhe o pattern definiti dall'utente. Di seguito, come esempio, il comando per cercare il termine «gnome-keyring» nel file /var/log/auth.log:
grep gnome-keyring /var/log/auth.log | less
Esaminare i log con i comandi head e tail
I comandi head e tail permettono di consultare rispettivamente l'inizio o la fine di un registro.
Come impostazione di predefinita mostrano le prime dieci righe o le ultime dieci di un qualsiasi file di testo.
Ad esempio, per consultare gli eventi meno recenti registrati nel log di autorizzazione, digitare nel terminale il comando:
head /var/log/auth.log
Viceversa, per consultare i più recenti il comando sarà:
tail /var/log/auth.log
Tuttavia è anche possibile consultare un numero diverso di righe aggiungendo l'opzione -n ai comandi precedenti. Ad esempio per consultare le prime venticinque righe del file kern.log digitare:
head -n 25 /var/log/kern.log
Per consultare invece le ultime venticinque righe dello stesso file digitare:
tail -n 25 /var/log/kern.log
Esaminare log in tempo reale
Aggiungendo l'opzione -f («follow») al comando tail è possibile consultare un registro in tempo reale. Per esempio se si desidera monitorare un server apache, visualizzando i nuovi client che man mano vi effettuano l'accesso, digitare nel terminale il seguente comando:
tail -f /var/log/apache2/access.log
Registri di sistema
Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che riguardano il funzionamento del sistema, non necessariamente correlati alle altre applicazioni.
Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi e ai log di sistema veri e propri, detti anche syslog.
Log di autorizzazione
Tale log traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attraverso l'inserimento della propria password: il sistema PAM, il comando sudo, l'accesso remoto da shell via ssh ecc.
Posizione: /var/log/auth.log
Esempio:
grep ssh /var/log/auth.log | less
Log di debug
Il log di debug fornisce i dettagli dei messaggi di debug provenienti dal sistema e dalle applicazioni quando utilizzano il demone rsyslogd a livello di «DEBUG». Questi messaggi sono utili per il debug di applicazioni, driver e servizi.
Potrebbe essere necessario abilitare il log di debug con le istruzioni di questa guida.
Posizione: /var/log/debug
Esempio:
grep ACPI /var/log/debug | less
Log del kernel
Il registro di attività del kernel fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, ad esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel.
Posizione: /var/log/kern.log
Esempio:
grep CPU /var/log/kern.log | less
Kernel ring buffer
Il kernel ring buffer non è un vero e proprio file di log. È piuttosto da considerarsi una struttura di dati che registra costantemente le operazioni del kernel, e che quindi può essere interrogata in caso di necessità (ad esempio per informazioni sui messaggi di avvio del kernel stesso).
Per consultarlo è sufficiente usare il comando dmesg. Infatti per visualizzare tutti i messaggi inviati dal kernel durante la fase di avvio digitare il seguente comando in un terminale:
dmesg | less
Come per altri comandi, è possibile usarlo insieme al comando grep, allo scopo di ricercare informazioni più specifiche:
dmesg | grep pnp | less
All'avvio del sistema, per impostazione predefinita, lo script /etc/init.d/bootmisc.sh lancia il comando dmesg e ne memorizza i risultati all'interno di /var/log/dmesg. Tale file può essere consultato come un qualsiasi altro file di registro.
Registro di sistema
Il registro di sistema contiene la stragrande maggioranze delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in /var/log/syslog e contiene tutte le altre informazioni non gestite dagli altri registri.
Può essere utile consultare questo file di registro quando le informazioni desiderate non sono presenti negli altri log.
systemd (journal)
Il gestore di servizi systemd ha un proprio strumento di log chiamato journal. È uno strumento più recente di Syslog, al quale può essere considerato complementare.
In Ubuntu i log di journal sono conservati nella directory /var/log/journal. Per visualizzare il log di systemd digitare nel terminale:
journalctl
Può essere utilizzato con numerose opzioni. Di seguito sono mostrati alcuni esempi:
Mostrare le voci relative al riavvio più recente:
journalctl -b
Limitare l'output ad un intervallo temporale:
journalctl --since yesterday journalctl --since "2022-01-10" --until "2023-01-10 08:00"
Visualizzare le voci relative al kernel:
journalctl -k
Visualizzare le voci specifiche di un processo, conoscendo il relativo PID:
journalctl _PID=11492
Per maggiori informazioni sulle altre funzionalità digitare il comando:
man journalctl
Lo strumento può essere configurato tramite il file /etc/systemd/journald.conf, decommentando le righe di proprio interesse e inserendo il valore desiderato. Ad esempio con il seguente parametro è possibile specificare lo spazio massimo su disco che può essere utilizzato dal journald:
SystemMaxUse=N
Registri delle applicazioni
Oltre ai tantissimi log specifici del sistema, è possibile accedere anche ai diversi altri log usati da determinate applicazioni.
Elencando il contenuto della sottodirectory /var/log è possibile notare dei file contenenti i nomi di alcune applicazioni installate (/var/log/apache2 come log del server Apache, /var/log/samba per il server Samba, /var/log/wmware-installer per VMware ecc.). Questa sezione riporta alcuni esempi specifici dei registri di applicazioni (in particolare quelle usate in ambito server) e le informazioni in essi contenute.
Registro di Apache
I file di registro di apache vengono memorizzati nella cartella /var/log/apache2. All'interno di questa directory sono presenti due differenti file di log: /var/log/apache2/access.log contenente le informazioni riguardanti le richieste di accesso al server, /var/log/apache2/error.log contenente i messaggi d'errore.
Posizione: /var/log/apache2/
Esempi:
grep "82.211.81.166" /var/log/apache2/access.log | less grep "Mac OS X" /var/log/apache2/access.log | less grep "shutting down" /var/log/apache2/error.log | less
Registro del sistema di stampa CUPS
Anche CUPS (Common Unix Printing System) registra la propria attività all'interno di un file di log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale registro potrebbe rivelarsi un buon punto di partenza.
Posizione: /var/log/cups/error_log
Esempio:
grep reload /var/log/cups/error_log | less
Log di Rootkit Hunter
Il comando rkhunter effettua dei controlli nel sistema per verificare la presenza di backdoor, sniffer, rootkit e altre applicazioni indesiderate.
Posizione: /var/log/rkhunter.log
Esempio:
grep WARNING /var/log/rkhunter.log | less
Registro di Samba
Il server Samba è solitamente usato per la condivisione di file fra sistemi compatibili. Samba conserva tre tipi di log differenti nella sottodirectory /var/log/samba:
log.nmbd: annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP;
log.smbd: annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba;
log.[IP_ADDRESS]: annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel nome del file, per esempio log.192.168.1.1.
Posizione: /var/log/samba
Esempio:
grep "master browser" /var/log/samba/log.nmbd | less less /var/log/samba/log.nmbd grep started /var/log/samba/log.smbd | less less /var/log/samba/log.192.168.99.99
Registro di X
Il server grafico X memorizza le proprie attività all'interno del file /var/log/Xorg.0.log.
Posizione: /var/log/Xorg.0.log
Esempio:
grep freetype /var/log/Xorg.0.log | less
Log non umanamente intellegibili
Tra i vari file presenti in /var/log ve ne sono alcuni destinati ad essere letti da particolari applicazioni, non necessariamente da esseri umani. Quelli che seguono sono degli esempi di questi particolari tipi di registro.
Registro degli accessi falliti
È possibile visualizzare il log degli accessi falliti al sistema tramite il comando faillog.
Posizione: /var/log/faillog
Esempio:
faillog
Registro degli ultimi accessi
È possibile esaminare il registro degli ultimi accessi effettuati tramite il comando lastlog.
Posizione: /var/log/lastlog
Esempio:
lastlog | less
Registro degli accessi
È possibile esaminare il registro in questione in modo da conoscere gli utenti attualmente loggati nel sistema attraverso il comando who.
Posizione: /var/log/wtmp
Esempio:
who
System Logging Daemon
rsyslogd (rocket-fast system for log processing) è un servizio di sistema che ha il compito di gestire, ricevere, reindirizzare (in locale o attraverso la rete) e memorizzare i messaggi di log proveniente dagli altri sottosistemi (servizi, applicazioni ecc.).
Su Ubuntu rsyslogd ha da tempo sostituito syslogd, un servizio equivalente precedentemente utilizzato nei sistemi unix-like, con cui è in gran parte retrocompatibile (ad esempio possono essere facilmente esportate le regole di syslogd in rsyslogd).
Nelle ultime versioni di Ubuntu il demone viene gestito da systemd. Per verificarne lo stato digitare il comando:
systemctl status rsyslog
Per informazioni su ulteriori operazioni (arrestare, riavviare il servizio ecc.) consultare questa guida.
Configurazione
Il file /etc/rsyslog.conf contiene la configurazione del servizio rsyslogd. Per informazioni sul contenuto digitare nel terminale il seguente comando:
man /etc/rsyslog.conf
Inviare messaggi al registro di sistema
Una delle funzionalità del comando logger permette di inserire messaggi in uno dei log di sistema in modo arbitrario. Questo è uno strumento molto potente che è possibile usare quando è necessario inserire delle informazioni all'interno del log del sistema, oppure all'interno di script amministrativi.
Il seguente esempio mostra un ipotetico utente mario che inserisce un messaggio in /var/log/syslog dopo una modifica effettuata ad un file di configurazione del sistema:
logger Ho modificato il file /etc/fstab
Nel file /var/log/syslog comparirà una riga simile alla seguente:
Jan 12 23:17:02 localhost mario: Ho modificato il file /etc/fstab
È possibile usare il comando logger all'interno di script, i cui risultati saranno visibili sia come output nel terminale sia all'interno del file /var/log/syslog.
Rotazione dei log
Ad intervalli di tempo predefiniti i file di log vengono ruotati. Ciò vuol dire che vengono rinominati automaticamente e sostituiti da nuovi file, poi compressi con gzip allo scopo di ridurre lo spazio necessario alla loro memorizzazione, mantenendoli quindi disponibili per controlli futuri.
Per maggiori informazioni consultare la guida dedicata.
Ulteriori risorse
Documento originale del wiki internazionale (non aggiornato)
Rsyslog (Wiki Debian internazionale)
Viewing and Managing Log Files (Documentazione Red Hat)
journalctl (pagina man)
Viewing and monitoring log files (tutorial)
How To Use Journalctl to View and Manipulate Systemd Logs (articolo Community Digital Ocean)