## page was renamed from LogDiSistema ## page was renamed from LogFiles #format wiki #LANGUAGE it <
> <> <> = Introduzione = Uno degli aspetti fondamentali dei sistemi GNU/Linux è il '''logging''', ovvero la registrazione di tutto ciò che accade nel sistema.<
> Queste informazioni hanno un valore inestimabile per utilizzare il sistema in modo cosciente. Inoltre rientrano fra le prime risorse che è bene controllare per la risoluzione di eventuali problemi e per la ricerca delle relative soluzioni. Infatti i '''file di log''' memorizzano tutte le informazioni riguardanti lo stato del sistema e delle applicazioni, compresi eventuali errori. Ubuntu fornisce informazioni essenziali su eventi, operazioni e altre funzionalità attraverso la registrazione di diverse tipologie file di log.<
> Tranne alcune eccezioni, tali file: * sono semplici file di testo in formato [[https://it.wikipedia.org/wiki/ASCII|ASCII]] standard. * vengono generalmente memorizzati in `/var/log`, la sottodirectory di sistema appositamente dedicata. * possono essere generati dal demone di sistema '''rsyslogd''' oppure creati e gestiti direttamente dalle applicazioni. Questa guida descrive, fra le varie cose: * i principali log di sistema e delle applicazioni, nonché il loro contenuto. * alcuni modi per consultare tali log e registri tramite [[AmministrazioneSistema/Terminale|riga di comando]] al fine di estrarre informazioni utili, con l'aiuto di esempi pratici. * alcuni usi principali del demone di registrazione del sistema '''rsyslogd''', di '''dmesg''' e di '''journal'''. = Esaminare i file di registro = I file di log possono contenere un numero tale di righe che potrebbero risultare scomodi da consultare tramite il comando '''cat''' o con i principali [[Ufficio/EditorDiTesto|editor di testo]]. Quindi è possibile utilizzare alcuni [[AmministrazioneSistema/ComandiBase|comandi di base]], fra cui alcuni più specifici come '''head''' e '''tail'''. {{{#!wiki note Alcuni file necessitano dei [[AmministrazioneSistema/PrivilegiDiAmministrazione/Sudo|privilegi di amministrazione]] per essere letti. }}} == Lettura dei log con i comandi di base == Per visualizzare il contenuto di un file con il comando '''less''' è sufficiente postporre il nome del file al comando, con una sintassi simile alla seguente:{{{ less /var/log/auth.log }}} Il file `/var/log/auth.log` verrà stampato a schermo. Per consultarlo usare i seguenti tasti: * '''le freccie direzionali''' per scorrere il file riga per riga; * '''BARRA SPAZIATRICE''' per andare avanti; * '''B''' per andare indietro; * '''Q''' per terminare. La ricerca all'interno dei file di log può risultare lunga e difficoltosa a causa delle loro dimensioni. Tale operazione può essere però semplificata attraverso l'uso combinato dei comandi '''less''' e '''grep''', che si occuperà di ricercare stringhe o pattern definiti dall'utente. Di seguito, come esempio, il comando per cercare il termine «`gnome-keyring`» nel file `/var/log/auth.log`:{{{ grep gnome-keyring /var/log/auth.log | less }}} == Esaminare i log con i comandi head e tail == I comandi '''head''' e '''tail''' permettono di consultare rispettivamente l'inizio o la fine di un registro.<
> Come impostazione di predefinita mostrano le prime dieci righe o le ultime dieci di un qualsiasi file di testo. Ad esempio, per consultare gli eventi meno recenti registrati nel log di autorizzazione, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il comando:{{{ head /var/log/auth.log }}} Viceversa, per consultare i più recenti il comando sarà:{{{ tail /var/log/auth.log }}} Tuttavia è anche possibile consultare un numero diverso di righe aggiungendo l'opzione '''-n''' ai comandi precedenti. Ad esempio per consultare le prime venticinque righe del file `kern.log` digitare:{{{ head -n 25 /var/log/kern.log }}} Per consultare invece le ultime venticinque righe dello stesso file digitare:{{{ tail -n 25 /var/log/kern.log }}} == Esaminare log in tempo reale == Aggiungendo l'opzione '''-f''' («''follow''») al comando '''tail''' è possibile consultare un registro in tempo reale. Per esempio se si desidera monitorare un server '''apache''', visualizzando i nuovi client che man mano vi effettuano l'accesso, digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{ tail -f /var/log/apache2/access.log }}} = Registri di sistema = Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che riguardano il funzionamento del sistema, non necessariamente correlati alle altre applicazioni. Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi e ai log di sistema veri e propri, detti anche '''syslog'''. <> == Log di autorizzazione == Tale log traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attraverso l'inserimento della propria password: il sistema '''[[https://it.wikipedia.org/wiki/Pluggable_authentication_modules|PAM]]''', il comando '''[[AmministrazioneSistema/PrivilegiDiAmministrazione|sudo]]''', l'accesso remoto da shell via '''[[InternetRete/DesktopRemoto/OpenSsh|ssh]]''' ecc. * '''Posizione''': `/var/log/auth.log` * '''Esempio''': {{{ grep ssh /var/log/auth.log | less }}} == Log di debug == Il log di debug fornisce i dettagli dei messaggi di debug provenienti dal sistema e dalle applicazioni quando utilizzano il demone '''rsyslogd''' a livello di «DEBUG». Questi messaggi sono utili per il [[https://it.wikipedia.org/wiki/Debugging|debug]] di applicazioni, driver e servizi. Potrebbe essere necessario abilitare il log di debug con le istruzioni di [[https://www.rsyslog.com/doc/master/troubleshooting/howtodebug.html|questa guida]]. * '''Posizione''': `/var/log/debug` * '''Esempio''': {{{ grep ACPI /var/log/debug | less }}} == Log del kernel == Il registro di attività del kernel fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, ad esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel. * '''Posizione''': `/var/log/kern.log` * '''Esempio''': {{{ grep CPU /var/log/kern.log | less }}} <> == Kernel ring buffer == Il ''kernel ring buffer'' non è un vero e proprio file di log. È piuttosto da considerarsi una struttura di dati che registra costantemente le operazioni del kernel, e che quindi può essere interrogata in caso di necessità (ad esempio per informazioni sui messaggi di avvio del kernel stesso).<
> Per consultarlo è sufficiente usare il comando '''dmesg'''. Infatti per visualizzare tutti i messaggi inviati dal kernel durante la fase di avvio digitare il seguente comando in un [[AmministrazioneSistema/Terminale|terminale]]:{{{ dmesg | less }}} Come per altri comandi, è possibile usarlo insieme al comando '''grep''', allo scopo di ricercare informazioni più specifiche:{{{ dmesg | grep pnp | less }}} {{{#!wiki tip All'avvio del sistema, per impostazione predefinita, lo script `/etc/init.d/bootmisc.sh` lancia il comando '''dmesg''' e ne memorizza i risultati all'interno di `/var/log/dmesg`. Tale file può essere consultato come un qualsiasi altro file di registro. }}} ##== Log dei messaggi == ##file /var/log/messages assente da 11.04 e successive! È integrato in /var/log/syslog, ma è possibile riabilitarlo. ## ##Questo log contiene i messaggi di informazioni delle applicazioni e degli strumenti di sistema. Questo registro è utile per esaminare messaggi di output provenienti dalle applicazioni e dagli strumenti di sistema che sfruttano il ##servizio '''rsyslogd''' a livello di «INFO». ## ## * '''Posizione''': `/var/log/messages` ## ## * '''Esempio''': {{{ ##grep gconfd /var/log/messages | less ##}}} == Registro di sistema == Il registro di sistema contiene la stragrande maggioranze delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in `/var/log/syslog` e contiene tutte le altre informazioni non gestite dagli altri registri. Può essere utile consultare questo file di registro quando le informazioni desiderate non sono presenti negli altri log. == systemd (journal) == Il gestore di servizi '''[[AmministrazioneSistema/Systemd|systemd]]''' ha un proprio strumento di log chiamato '''journal'''. È uno strumento più recente di '''Syslog''', al quale può essere considerato complementare. In Ubuntu i log di '''journal''' sono conservati nella directory `/var/log/journal`. Per visualizzare il log di systemd digitare nel [[AmministrazioneSistema/Terminale|terminale]]:{{{ journalctl }}} Può essere utilizzato con numerose opzioni. Di seguito sono mostrati alcuni esempi: * Mostrare le voci relative al riavvio più recente:{{{ journalctl -b }}} * Limitare l'output ad un intervallo temporale:{{{ journalctl --since yesterday journalctl --since "2022-01-10" --until "2023-01-10 08:00" }}} * Visualizzare le voci relative al kernel:{{{ journalctl -k }}} * Visualizzare le voci specifiche di un processo, conoscendo il relativo PID:{{{ journalctl _PID=11492 }}} Per maggiori informazioni sulle altre funzionalità digitare il comando:{{{ man journalctl }}} Lo strumento può essere configurato tramite il file `/etc/systemd/journald.conf`, decommentando le righe di proprio interesse e inserendo il valore desiderato. Ad esempio con il seguente parametro è possibile specificare lo spazio massimo su disco che può essere utilizzato dal journald:{{{ SystemMaxUse=N }}} = Registri delle applicazioni = Oltre ai tantissimi log specifici del sistema, è possibile accedere anche ai diversi altri log usati da determinate applicazioni. Elencando il contenuto della sottodirectory `/var/log` è possibile notare dei file contenenti i nomi di alcune applicazioni installate (`/var/log/apache2` come log del server '''Apache''', `/var/log/samba` per il server '''Samba''', `/var/log/wmware-installer` per '''VMware''' ecc.). Questa sezione riporta alcuni esempi specifici dei registri di applicazioni (in particolare quelle usate in ambito server) e le informazioni in essi contenute. == Registro di Apache == I file di registro di '''[[Server/Apache|apache]]''' vengono memorizzati nella cartella `/var/log/apache2`. All'interno di questa directory sono presenti due differenti file di log: `/var/log/apache2/access.log` contenente le informazioni riguardanti le richieste di accesso al server, `/var/log/apache2/error.log` contenente i messaggi d'errore. * '''Posizione''': `/var/log/apache2/` * '''Esempi''': {{{ grep "82.211.81.166" /var/log/apache2/access.log | less grep "Mac OS X" /var/log/apache2/access.log | less grep "shutting down" /var/log/apache2/error.log | less }}} == Registro del sistema di stampa CUPS == Anche '''CUPS''' ('''Common Unix Printing System''') registra la propria attività all'interno di un file di log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale registro potrebbe rivelarsi un buon punto di partenza. * '''Posizione''': `/var/log/cups/error_log` * '''Esempio''': {{{ grep reload /var/log/cups/error_log | less }}} == Log di Rootkit Hunter == Il comando '''[[Sicurezza/RootkitHunter|rkhunter]]''' effettua dei controlli nel sistema per verificare la presenza di ''backdoor'', ''sniffer'', ''rootkit'' e altre applicazioni indesiderate. * '''Posizione''': `/var/log/rkhunter.log` * '''Esempio''': {{{ grep WARNING /var/log/rkhunter.log | less }}} == Registro di Samba == Il server '''[[Server/Samba|Samba]]''' è solitamente usato per la condivisione di file fra sistemi compatibili. '''Samba''' conserva tre tipi di log differenti nella sottodirectory `/var/log/samba`: * `log.nmbd`: annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP; * `log.smbd`: annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba; * `log.[IP_ADDRESS]`: annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel nome del file, per esempio `log.192.168.1.1`. * '''Posizione''': `/var/log/samba` * '''Esempio''': {{{ grep "master browser" /var/log/samba/log.nmbd | less less /var/log/samba/log.nmbd grep started /var/log/samba/log.smbd | less less /var/log/samba/log.192.168.99.99 }}} == Registro di X == Il server grafico '''[[Hardware/Video/Xorg|X]]''' memorizza le proprie attività all'interno del file `/var/log/Xorg.0.log`. * '''Posizione''': `/var/log/Xorg.0.log` * '''Esempio''': {{{ grep freetype /var/log/Xorg.0.log | less }}} = Log non umanamente intellegibili = Tra i vari file presenti in `/var/log` ve ne sono alcuni destinati ad essere letti da particolari applicazioni, non necessariamente da esseri umani. Quelli che seguono sono degli esempi di questi particolari tipi di registro. == Registro degli accessi falliti == È possibile visualizzare il log degli accessi falliti al sistema tramite il comando '''faillog'''. * '''Posizione''': `/var/log/faillog` * '''Esempio''': {{{ faillog }}} == Registro degli ultimi accessi == È possibile esaminare il registro degli ultimi accessi effettuati tramite il comando '''lastlog'''. * '''Posizione''': `/var/log/lastlog` * '''Esempio''': {{{ lastlog | less }}} == Registro degli accessi == È possibile esaminare il registro in questione in modo da conoscere gli utenti attualmente loggati nel sistema attraverso il comando '''who'''. * '''Posizione''': {{{/var/log/wtmp}}} * '''Esempio''': {{{ who }}} = System Logging Daemon = '''rsyslogd''' ('''rocket-fast system for log processing''') è un servizio di sistema che ha il compito di gestire, ricevere, reindirizzare (in locale o attraverso la rete) e memorizzare i messaggi di log proveniente dagli altri sottosistemi (servizi, applicazioni ecc.).<
> Su Ubuntu '''rsyslogd''' ha da tempo sostituito '''syslogd''', un servizio equivalente precedentemente utilizzato nei sistemi unix-like, con cui è in gran parte retrocompatibile (ad esempio possono essere facilmente esportate le regole di '''syslogd''' in '''rsyslogd'''). Nelle ultime versioni di Ubuntu il demone viene gestito da '''systemd'''. Per verificarne lo stato digitare il comando:{{{ systemctl status rsyslog }}} Per informazioni su ulteriori operazioni (arrestare, riavviare il servizio ecc.) consultare [[AmministrazioneSistema/Systemd|questa guida]]. == Configurazione == Il file `/etc/rsyslog.conf` contiene la configurazione del servizio '''rsyslogd'''. Per informazioni sul contenuto digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{ man /etc/rsyslog.conf }}} == Inviare messaggi al registro di sistema == Una delle funzionalità del comando '''logger''' permette di inserire messaggi in uno dei log di sistema in modo arbitrario. Questo è uno strumento molto potente che è possibile usare quando è necessario inserire delle informazioni all'interno del log del sistema, oppure all'interno di script amministrativi. Il seguente esempio mostra un ipotetico utente `mario` che inserisce un messaggio in `/var/log/syslog` dopo una modifica effettuata ad un file di configurazione del sistema:{{{ logger Ho modificato il file /etc/fstab }}} Nel file `/var/log/syslog` comparirà una riga simile alla seguente:{{{ Jan 12 23:17:02 localhost mario: Ho modificato il file /etc/fstab }}} {{{#!wiki tip È possibile usare il comando '''logger''' all'interno di [[Programmazione/Script|script]], i cui risultati saranno visibili sia come output nel terminale sia all'interno del file `/var/log/syslog`. }}} == Rotazione dei log == Ad intervalli di tempo predefiniti i file di log vengono ''ruotati''. Ciò vuol dire che vengono rinominati automaticamente e sostituiti da nuovi file, poi compressi con '''gzip''' allo scopo di ridurre lo spazio necessario alla loro memorizzazione, mantenendoli quindi disponibili per controlli futuri. Per maggiori informazioni consultare la [[AmministrazioneSistema/LogDiSistema/Rotazione|guida dedicata]]. <> = Ulteriori risorse = * [[https://help.ubuntu.com/community/LinuxLogFiles|Documento originale del wiki internazionale]] (non aggiornato) * [[https://wiki.ubuntu.com/FoundationsTeam/Specs/Rsyslogd|Rsyslogd sul wiki internazionale]] * [[https://wiki.debian.org/Rsyslog|Rsyslog]] (Wiki Debian internazionale) * [[https://guide.debianizzati.org/index.php/Old:Configurare_un_server_Syslog_su_Debian|Server Syslog su Debian]] * [[https://github.com/rsyslog/rsyslog|GitHub rsyslog]] * [[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-viewing_and_managing_log_files|Viewing and Managing Log Files]] (Documentazione Red Hat) * [[https://www.linuxfoundation.org/blog/blog/classic-sysadmin-viewing-linux-logs-from-the-command-line|Viewing Linux Logs from the Command Line]] * [[https://manpages.ubuntu.com/manpages/bionic/man1/journalctl.1.html|journalctl]] (pagina man) * [[https://discourse.ubuntu.com/t/viewing-and-monitoring-log-files/13947|Viewing and monitoring log files]] (tutorial) * [[https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs|How To Use Journalctl to View and Manipulate Systemd Logs]] (articolo Community Digital Ocean) ---- CategoryAmministrazione