|
Dimensione: 16317
Commento:
|
Dimensione: 16267
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 74: | Linea 74: |
| ##corretto fino qui |
|
| Linea 78: | Linea 76: |
| Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che hanno a che fare con il funzionamento del sistema e non necessariamente con le altre applicazioni. Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi ed ai log di sistema veri e propri, detti anche ''syslog'' (da non confondere con il demone '''syslogd''' descritto in seguito). |
Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che riguardano il funzionamento del sistema, quindi non necessariamente con le altre applicazioni. Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi e ai log di sistema veri e propri, detti anche '''syslog'''. |
| Linea 85: | Linea 83: |
| Il log di autorizzazione traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attraverso l'inserimento della propria password, come ad esempio il sistema '''PAM''', il comando [[AmministrazioneSistema/PrivilegiDiAmministrazione|sudo]], l'accesso remoto da [[InternetRete/ConfigurazioneRete/OpenSsh|shell ssh]] e così via. | Il log di autorizzazione traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attraverso l'inserimento della propria password: il sistema '''[[https://it.wikipedia.org/wiki/Pluggable_authentication_modules|PAM]]''', il comando '''[[AmministrazioneSistema/PrivilegiDiAmministrazione|sudo]]''', l'accesso remoto da [[InternetRete/ConfigurazioneRete/OpenSsh|shell ssh]] ecc. |
| Linea 89: | Linea 87: |
| * '''Esempio''': {{{ grep sshd /var/log/auth.log | less |
* '''Esempio''': {{{ grep ssh /var/log/auth.log | less |
| Linea 95: | Linea 93: |
| Il log di debug fornisce i dettagli dei messaggi di debug provenienti dal sistema e dalle applicazioni che si appoggiano al demone '''syslogd''' a livello di «DEBUG». Questi messaggi sono utili per il debug di applicazioni, driver e servizi. * '''Posizione''': {{{/var/log/debug}}} |
Il log di debug fornisce i dettagli dei messaggi di debug provenienti dal sistema e dalle applicazioni che si appoggiano al demone '''rsyslogd''' a livello di «DEBUG». Questi messaggi sono utili per il [[https://it.wikipedia.org/wiki/Debugging|debug]] di applicazioni, driver e servizi. * '''Posizione''': `/var/log/debug` |
| Linea 105: | Linea 103: |
| Il registro di attività del kernel fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, per esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel. * '''Posizione''': {{{/var/log/kern.log}}} |
Il registro di attività del kernel fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, ad esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel. * '''Posizione''': `/var/log/kern.log` |
| Linea 116: | Linea 114: |
| Il ''kernel ring buffer'' non è un vero e proprio file di log, ma piuttosto un'area del kernel attualmente in uso che può essere interrogata in modo da ottenere informazioni riguardanti i messaggi di avvio del kernel stesso: a tale scopo è utile usare il comando '''dmesg'''. È possibile vedere tutti i messaggi inviati dal kernel durante la fase di avvio digitando il seguente comando in un [[AmministrazioneSistema/Terminale|terminale]]:{{{ | Il ''kernel ring buffer'' non è un vero e proprio file di log. È piuttosto da considerarsi un'area del kernel in uso che può essere interrogata in modo da ottenere informazioni riguardanti i messaggi di avvio del kernel stesso. A tale scopo è utile usare il comando '''dmesg'''. È possibile vedere tutti i messaggi inviati dal kernel durante la fase di avvio digitando il seguente comando in un [[AmministrazioneSistema/Terminale|terminale]]:{{{ |
| Linea 120: | Linea 118: |
| Come al solito, è possibile usare una combinazione con il comando '''grep''', allo scopo di ricercare informazioni più specifiche:{{{ | Come per altri comandi, è possibile usarlo insieme al comando '''grep''', allo scopo di ricercare informazioni più specifiche:{{{ |
| Linea 124: | Linea 122: |
| {{{#!wiki note All'avvio del sistema, come impostazione predefinita, lo script `/etc/init.d/bootmisc.sh` lancia il comando '''dmesg''' e ne memorizza i risultati all'interno di `/var/log/dmesg`. Tale file può essere consultato come un qualsiasi altro file di registro. |
{{{#!wiki tip All'avvio del sistema, per impostazione predefinita, lo script `/etc/init.d/bootmisc.sh` lancia il comando '''dmesg''' e ne memorizza i risultati all'interno di `/var/log/dmesg`. Tale file può essere consultato come un qualsiasi altro file di registro. |
| Linea 130: | Linea 128: |
| Il log in questione contiene i messaggi di informazioni delle applicazioni e degli strumenti di sistema. Questo registro è utile per esaminare messaggi di output provenienti dalle applicazioni e dagli strumenti di sistema che sfruttano il servizio '''syslogd''' a livello di «INFO». * '''Posizione''': {{{/var/log/messages}}} |
Questo log contiene i messaggi di informazioni delle applicazioni e degli strumenti di sistema. Questo registro è utile per esaminare messaggi di output provenienti dalle applicazioni e dagli strumenti di sistema che sfruttano il servizio '''rsyslogd''' a livello di «INFO». * '''Posizione''': `/var/log/messages` |
| Linea 138: | Linea 136: |
| ##/var/log/messages potrebbe essere assente |
|
| Linea 140: | Linea 140: |
| Il registro di sistema contiene la stragrande maggioranze delle delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in {{{/var/log/syslog}}} e contiene tutte le altre informazioni non gestite dagli altri registri. È molto utile consultare questo file di registro quando le informazioni ricercate non sono presenti negli altri log citati in precedenza. | Il registro di sistema contiene la stragrande maggioranze delle delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in `/var/log/syslog` e contiene tutte le altre informazioni non gestite dagli altri registri. Può essere utile consultare questo file di registro quando le informazioni desiderate non sono presenti negli altri log citati in precedenza. == systemd (Journal) == Il gestore di servizi '''[[AmministrazioneSistema/Systemd|systemd]]''' ha un proprio strumento di log chiamato '''journal'''. È uno strumento più recente di '''Syslog''', di cui può essere considerato complementare. In Ubuntu i log di '''journal''' sono conservati nella directory `/var/log/journal`. Può essere configurato tramite il file `/etc/systemd/journald.conf`. Per visualizzare il log di systemd digitare nel [[AmministrazioneSistema/Terminale|terminale]]:{{{ journalctl }}} Può essere utilizzato con numerose opzioni. Per maggiori informazioni digitare il comando:{{{ man journalctl }}} |
| Linea 144: | Linea 160: |
| Oltre alla miriade di log specifici del sistema, è possibile accedere anche ai diversi log usati da determinate applicazioni. Se si elenca il contenuto della sottodirectory {{{/var/log}}} ,è possibile notare dei file contenenti i nomi di alcune applicazioni installate, come {{{/var/log/apache2}}} rappresenta il log del server '''Apache''', o {{{/var/log/samba}}}, che contiene i log del server '''Samba'''. Questa sezione introduce alcuni esempi specifici dei registri delle applicazioni e le informazioni contenute in essi. | Oltre ai tantissimi log specifici del sistema, è possibile accedere anche ai diversi altri log usati da determinate applicazioni. Elencando il contenuto della sottodirectory `/var/log` è possibile notare dei file contenenti i nomi di alcune applicazioni installate (`/var/log/apache2` come log del server '''Apache''', `/var/log/samba` per il server '''Samba''', `/var/log/wmware-installer` per '''VMware''' ecc.). Questa sezione riporta alcuni esempi specifici dei registri di applicazioni (in particolare quelle usate in ambito server) e le informazioni in essi contenute. |
| Linea 148: | Linea 166: |
| I file di registro di '''apache''' vengono memorizzati nella cartella {{{/var/log/apache2}}}. All'interno di questa directory sono presenti due differenti file di log, uno contenente le informazioni riguardanti le richieste d'accesso al server ({{{/var/log/apache2/access.log}}}), l'altro per i messaggi d'errore ({{{/var/log/apache2/error.log}}}). * '''Posizione''': {{{/var/log/apache2/}}} * '''Esempio''': {{{ |
I file di registro di '''apache''' vengono memorizzati nella cartella `/var/log/apache2`. All'interno di questa directory sono presenti due differenti file di log: `/var/log/apache2/access.log` contenente le informazioni riguardanti le richieste di accesso al server, `/var/log/apache2/error.log` contenente i messaggi d'errore. * '''Posizione''': `/var/log/apache2/` * '''Esempi''': {{{ |
| Linea 160: | Linea 178: |
| Anche il '''Common Unix Printing System''' (CUPS) registra la propria attività all'interno di un file di log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale registro potrebbe rivelarsi un buon punto di partenza. * '''Posizione''': {{{/var/log/cups/error_log}}} |
Anche '''CUPS''' ('''Common Unix Printing System''') registra la propria attività all'interno di un file di log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale registro potrebbe rivelarsi un buon punto di partenza. * '''Posizione''': `/var/log/cups/error_log` |
| Linea 172: | Linea 190: |
| * '''Posizione''': {{{/var/log/rkhunter.log}}} * '''Esempio''': {{{ |
* '''Posizione''': `/var/log/rkhunter.log` * '''Esempio''': {{{ |
| Linea 180: | Linea 198: |
| Il server '''Samba''' è solitamente usato per la condivisione di file fra sistemi compatibili. '''Samba''' conserva tre tipi di log differenti nella sottodirectory {{{/var/log/samba}}}: * {{{log.nmbd}}} : Annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP * {{{log.smbd}}} : Annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba * {{{log.[IP_ADDRESS]}}} : Annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel nome del file, per esempio, {{{log.192.168.1.1}}}. * '''Posizione''': {{{/var/log/samba}}} * '''Esempio''': {{{ |
Il server '''Samba''' è solitamente usato per la condivisione di file fra sistemi compatibili. '''Samba''' conserva tre tipi di log differenti nella sottodirectory `/var/log/samba`: * `log.nmbd`: annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP; * `log.smbd`: annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba; * `log.[IP_ADDRESS]`: annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel nome del file, per esempio `log.192.168.1.1`. * '''Posizione''': `/var/log/samba` * '''Esempio''': {{{ |
| Linea 197: | Linea 215: |
| Il server grafico '''X''' memorizza le proprie attività all'interno del file {{{/var/log/Xorg.0.log}}}. * '''Posizione''': {{{/var/log/Xorg.0.log}}} |
Il server grafico '''X''' memorizza le proprie attività all'interno del file `/var/log/Xorg.0.log`. * '''Posizione''': `/var/log/Xorg.0.log` |
| Linea 207: | Linea 225: |
| Tra i vari file presenti in {{{/var/log}}} ve ne sono alcuni destinati ad essere letti da particolari applicazioni, non necessariamente da esseri umani. Quelli che seguono sono degli esempi di questi particolari tipi di registro. | Tra i vari file presenti in `/var/log` ve ne sono alcuni destinati ad essere letti da particolari applicazioni, non necessariamente da esseri umani. Quelli che seguono sono degli esempi di questi particolari tipi di registro. |
| Linea 213: | Linea 231: |
| * '''Posizione''': {{{/var/log/faillog}}} * '''Esempio''': {{{ |
* '''Posizione''': `/var/log/faillog` * '''Esempio''': {{{ |
| Linea 221: | Linea 239: |
| È possibile esaminare il registro degli utlimi accessi effettuati tramite il comando '''lastlog'''. * '''Posizione''': {{{/var/log/lastlog}}} |
È possibile esaminare il registro degli ultimi accessi effettuati tramite il comando '''lastlog'''. * '''Posizione''': `/var/log/lastlog` |
| Linea 239: | Linea 257: |
| ##correggere da qui |
|
| Linea 241: | Linea 261: |
| Il '''System Logging Daemon''', o '''syslogd''', è un servizio di sistema che ha il compito di ricevere, reindirizzare (in locale o attraverso la rete) e memorizzare i messaggi di log proveniente dagli altri sottosistemi (servizi, applicazioni etc). | '''rsyslogd''' è un servizio di sistema che ha il compito di gestire, ricevere, reindirizzare (in locale o attraverso la rete) e memorizzare i messaggi di log proveniente dagli altri sottosistemi (servizi, applicazioni ecc.).<<BR>> In Ubuntu ha da tempo sostituito '''syslogd''', un servizio equivalente precedentemente utilizzato nei sistemi unix-like, con cui è in gran parte retrocompatibile (ad esempio possono essere facilmente esportate le regole di '''syslogd''' in '''rsyslogd'''). |
| Linea 245: | Linea 266: |
| Il file di configurazione {{{/etc/syslog.conf}}} contiene la configurazione del servizio '''syslogd'''. La spiegazione del contenuto di tale file esula dagli scopi della presente guida. Consultare la sezione [[#risorse|Ulteriori risorse]]. | Il file `/etc/rsyslog.conf` contiene la configurazione del servizio '''rsyslogd'''. Per informazioni sul contenuto digitare nel [[AmministrazioneSistema/Terminale|terminale]] il seguente comando:{{{ man /etc/rsyslog.conf }}} |
| Linea 249: | Linea 272: |
| ## devo riprendere da qui Il comando '''logger''' permette di inserire messaggi in uno dei log del sistema (ad esempio {{{/var/log/syslog}}}) in modo arbitrario. Tale comando è uno strumento molto potente che è possibile usare per inserire delle informazioni all'interno del log di sistema quando necessario, oppure all'interno di script amministrativi. Per esempio, se il proprio nome utente è {{{mario}}} e si desidera inserire un messaggio nel ''syslog'' a proposito di una modifica effettuata ad un file di configurazione del sistema, si può digitare un commando simile al seguente in un [[AmministrazioneSistema/Terminale|terminale]]:{{{ logger Ho abilitato il composito nel file /etc/X11/xorg.conf }}} Nel file {{{/var/log/syslog}}} comparirà una riga simile alla seguente:{{{ Jan 12 23:17:02 localhost mario: Ho abilitato il composito nel file /etc/X11/xorg.conf }}} È possibile usare il comando in questione all'interno di script, come nell'esempio seguente, in modo da implementare un semplice sistema di logging degli errori: {{{ #!/bin/bash # # sample logger error jive # logmsg="/usr/bin/logger -s -t IlMioScript " # announce what this script is, even to the log $logmsg "Directory Checker FooScript Jive 1.0" # test for the existence of Fred's home dir on this machine if [ -d /home/fred ]; then $logmsg "I. La directory Home di Fred è presente nel sistema." else $logmsg "E. Fred non ha una directory Home nel sistema." exit 1 fi }}} Lo script in questione ({{{chkdir.sh}}}), se eseguito su una macchina {{{butters}}} dove l'utente Fred non ha una cartella '''Home''', {{{/home/fred}}}, restituisce i seguenti risultati: {{{ bumpy@butters:~$./chkdir.sh MyScript: Directory Checker FooScript Jive 1.0 MyScript: E. Fred's Home Directory was NOT Found. Boo Hoo. bumpy@butters:~$tail -n 2 /var/log/syslog Jan 12 23:23:11 localhost IlMioScript: Directory Checker FooScript Jive 1.0 Jan 12 23:23:11 localhost IlMioScript: E. Fred non ha una directory Home nel sistema }}} È facile notare come i messaggi siano stati inviati sia al terminale che al ''syslog''. |
Una delle funzionalità del comando '''logger''' permette di inserire messaggi in uno dei log di sistema in modo arbitrario. Questo è uno strumento molto potente che è possibile usare quando è necessario inserire delle informazioni all'interno del log del sistema, oppure all'interno di script amministrativi. Il seguente esempio mostra un ipotetico utente `mario` che inserisce un messaggio in `/var/log/syslog` dopo una modifica effettuata ad un file di configurazione del sistema:{{{ logger Ho modificato il file /etc/fstab }}} Nel file `/var/log/syslog` comparirà una riga simile alla seguente:{{{ Jan 12 23:17:02 localhost mario: Ho modificato il file /etc/fstab }}} {{{#!wiki tip È possibile usare il comando '''logger''' all'interno di [[Programmazione/Script|script]], i cui risultati saranno visibili sia come output nel terminale sia all'interno del file `/var/log/syslog`. }}} |
| Linea 292: | Linea 287: |
##completare guida su logrotate e inserire link |
|
| Linea 300: | Linea 297: |
| * [[https://help.ubuntu.com/community/LinuxLogFiles|Documento originale del wiki internazionale]] * [[http://na.mirror.garr.it/mirrors/appuntilinux/HTML/a2162.htm|Guida alla gestione del registro di sistema]] * [[http://www.samag.com/documents/s=1146/sam0109m/0109m.htm|Controllare i log con awk {en}]] * [[http://www-128.ibm.com/developerworks/linux/library/l-roadmap5/|Introduzione ai log del sistema {en}]] * [[http://www.linuxplanet.com/linuxplanet/tutorials/5576/1/|Guida ad una consultazione efficiente dei log {en}]] |
* [[https://help.ubuntu.com/community/LinuxLogFiles|Documento originale del wiki internazionale]] (non aggiornato) * [[https://wiki.debian.org/Rsyslog|Rsyslog]] (Wiki Debian internazionale) * [[https://guide.debianizzati.org/index.php/Old:Configurare_un_server_Syslog_su_Debian|Server Syslog su Debian]] * [[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-viewing_and_managing_log_files|Viewing and Managing Log Files]] (Documentazione Red Hat) * [[https://www.linuxfoundation.org/blog/blog/classic-sysadmin-viewing-linux-logs-from-the-command-line|Viewing Linux Logs from the Command Line]] * [[https://manpages.ubuntu.com/manpages/bionic/man1/journalctl.1.html|journalctl]] (pagina man) |
|
Attenzione! Questa è una Pagina di prova. Le informazioni riportate potrebbero essere incomplete, errate e potenzialmente pericolose. Per contribuire alla realizzazione di questa pagina consultare la discussione di riferimento. |
Guida verificata con Ubuntu: 20.04 22.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Uno degli aspetti fondamentali dei sistemi GNU/Linux è la registrazione di tutto ciò che accade nel sistema (logging).
Queste informazioni hanno un valore inestimabile per utilizzare il sistema in modo cosciente, e dovrebbero essere fra le prime risorse utilizzate per la risoluzione dei problemi e la ricerca delle soluzioni. I file di log memorizzano tutte le informazioni riguardanti lo stato di salute del sistema e delle applicazioni.
Ubuntu fornisce informazioni essenziali su eventi, operazioni e altre funzionalità attraverso la registrazione di diversi file di log.
Tali file non sono altro che semplici file di testo in formato ASCII standard e generalmente vengono memorizzati nella sottodirectory di sistema /var/log.
La maggior parte dei file di log viene generata dal demone di sistema rsyslogd, mentre altri vengono creati e gestiti direttamente dalle applicazioni che ne salvano una propria copia direttamente in /var/log.
Questa guida descrive i principali log di sistema e il loro contenuto con degli esempi. Inoltre, verranno descritti alcuni esempi sul modo di estrarre le informazioni utili da tali registri, facendo uso dei soli strumenti disponibili da riga di comando.
Viene illustrato, inoltre, il funzionamento e la configurazione del demone di registrazione del sistema rsyslogd.
Esaminare i file di registro
Alcuni file necessitano dei privilegi di amministrazione per essere letti.
È possibile esaminare i file di registro tramite alcuni fra i comandi di base e tramite i comandi specifici head e tail.
Lettura dei log con i comandi di base
Per visualizzare il contenuto di un determinato file con il comando less è sufficiente postporre il nome del file al comando, con una sintassi simile alla seguente:
less /var/log/auth.log
Il file /var/log/auth.log verrà stampato a schermo. Per consultarlo usare i seguenti tasti:
le freccie direzionali per scorrere il file riga per riga;
BARRA SPAZIATRICE per andare avanti;
B per ndare indietro;
Q per terminare.
La ricerca all'interno dei file di log può risultare lunga e difficoltosa a causa delle loro dimensioni. Tale operazione può essere però semplificata attraverso l'uso combinato dei comandi less e grep, che si occuperà di ricercare stringhe o pattern definiti dall'utente. Di seguito, come esempio, il comando per cercare il termine sshd nel file /var/log/auth.log:
grep sshd /var/log/auth.log | less
Esaminare i log con il comando head
È possibile consultare l'inizio di un registro usando il comando head. Tale comando, se usato con la sintassi predefinita, mostra le prime dieci righe di un qualsiasi file di testo. Ad esempio, per consultare gli eventi meno recenti registrati nel log di autorizzazione, digitare nel terminale comando:
head /var/log/auth.log
È inoltre possibile consultare un numero diverso di righe tramite l'opzione aggiungendo l'opzione -n al comando precedente. Ad esempio per consultare le prime venticinque righe del file digitare:
head -n 25 /var/log/auth.log
Esaminare i log con il comando tail
Con il comando tail è possibile consultare solo la parte finale di un file. Analogamente a head, con le impostazioni predefinite visualizza le ultime dieci righe di un file:
tail /var/log/kern.log
Allo stessso modo di head, con l'opzione -n si può specificare un numero diverso di righe. Ad esempio per consultare le ultime venticinque righe del file /var/log/kern.log digitare:
tail -n 25 /var/log/kern.log
Esaminare log in tempo reale
Aggiungendo l'opzione -f al comando tail è possibile consultare un registro in tempo reale. Per esempio, se si desidera conoscere in tempo reale i client che accedono al proprio server apache, digitare nel terminale il seguente comando:
tail -f /var/log/apache2/access.log
Registri di sistema
Questa sezione della guida si occupa dei cosiddetti log di sistema, ovvero dei file di registro nei quali vengono memorizzati tutti gli eventi che riguardano il funzionamento del sistema, quindi non necessariamente con le altre applicazioni.
Esempi di questo tipo sono quelli relativi ai meccanismi di autorizzazione, ai sevizi di sistema, ai messaggi e ai log di sistema veri e propri, detti anche syslog.
Log di autorizzazione
Il log di autorizzazione traccia l'uso dei sistemi di autorizzazione, cioè tutti i quei meccanismi di Ubuntu che permettono di autorizzare gli utenti attraverso l'inserimento della propria password: il sistema PAM, il comando sudo, l'accesso remoto da shell ssh ecc.
Posizione: /var/log/auth.log
Esempio:
grep ssh /var/log/auth.log | less
Log di debug
Il log di debug fornisce i dettagli dei messaggi di debug provenienti dal sistema e dalle applicazioni che si appoggiano al demone rsyslogd a livello di «DEBUG». Questi messaggi sono utili per il debug di applicazioni, driver e servizi.
Posizione: /var/log/debug
Esempio:
grep ACPI /var/log/debug | less
Log del kernel
Il registro di attività del kernel fornisce informazioni dettagliate sullo stato del kernel di Ubuntu. Questi messaggi possono risultare utili, ad esempio, per la risoluzione dei problemi durante l'installazione di un nuovo kernel.
Posizione: /var/log/kern.log
Esempio:
grep CPU /var/log/kern.log | less
Kernel ring buffer
Il kernel ring buffer non è un vero e proprio file di log. È piuttosto da considerarsi un'area del kernel in uso che può essere interrogata in modo da ottenere informazioni riguardanti i messaggi di avvio del kernel stesso. A tale scopo è utile usare il comando dmesg. È possibile vedere tutti i messaggi inviati dal kernel durante la fase di avvio digitando il seguente comando in un terminale:
dmesg | less
Come per altri comandi, è possibile usarlo insieme al comando grep, allo scopo di ricercare informazioni più specifiche:
dmesg | grep pnp | less
All'avvio del sistema, per impostazione predefinita, lo script /etc/init.d/bootmisc.sh lancia il comando dmesg e ne memorizza i risultati all'interno di /var/log/dmesg. Tale file può essere consultato come un qualsiasi altro file di registro.
Log dei messaggi
Questo log contiene i messaggi di informazioni delle applicazioni e degli strumenti di sistema. Questo registro è utile per esaminare messaggi di output provenienti dalle applicazioni e dagli strumenti di sistema che sfruttano il servizio rsyslogd a livello di «INFO».
Posizione: /var/log/messages
Esempio:
grep gconfd /var/log/messages | less
Registro di sistema
Il registro di sistema contiene la stragrande maggioranze delle delle informazioni relative alla configurazione del proprio sistema Ubuntu. È localizzato in /var/log/syslog e contiene tutte le altre informazioni non gestite dagli altri registri.
Può essere utile consultare questo file di registro quando le informazioni desiderate non sono presenti negli altri log citati in precedenza.
systemd (Journal)
Il gestore di servizi systemd ha un proprio strumento di log chiamato journal. È uno strumento più recente di Syslog, di cui può essere considerato complementare.
In Ubuntu i log di journal sono conservati nella directory /var/log/journal. Può essere configurato tramite il file /etc/systemd/journald.conf.
Per visualizzare il log di systemd digitare nel terminale:
journalctl
Può essere utilizzato con numerose opzioni. Per maggiori informazioni digitare il comando:
man journalctl
Registri delle applicazioni
Oltre ai tantissimi log specifici del sistema, è possibile accedere anche ai diversi altri log usati da determinate applicazioni.
Elencando il contenuto della sottodirectory /var/log è possibile notare dei file contenenti i nomi di alcune applicazioni installate (/var/log/apache2 come log del server Apache, /var/log/samba per il server Samba, /var/log/wmware-installer per VMware ecc.). Questa sezione riporta alcuni esempi specifici dei registri di applicazioni (in particolare quelle usate in ambito server) e le informazioni in essi contenute.
Registro di Apache
I file di registro di apache vengono memorizzati nella cartella /var/log/apache2. All'interno di questa directory sono presenti due differenti file di log: /var/log/apache2/access.log contenente le informazioni riguardanti le richieste di accesso al server, /var/log/apache2/error.log contenente i messaggi d'errore.
Posizione: /var/log/apache2/
Esempi:
grep "82.211.81.166" /var/log/apache2/access.log | less grep "Mac OS X" /var/log/apache2/access.log | less grep "shutting down" /var/log/apache2/error.log | less
Registro del sistema di stampa CUPS
Anche CUPS (Common Unix Printing System) registra la propria attività all'interno di un file di log. Nel caso si debba risolvere qualche problema legato al servizio di stampa di Ubuntu, tale registro potrebbe rivelarsi un buon punto di partenza.
Posizione: /var/log/cups/error_log
Esempio:
grep reload /var/log/cups/error_log | less
Log di Rootkit Hunter
Il comando rkhunter effettua dei controlli nel sistema per verificare la presenza di backdoor, sniffer, rootkit e altre applicazioni indesiderate.
Posizione: /var/log/rkhunter.log
Esempio:
grep WARNING /var/log/rkhunter.log | less
Registro di Samba
Il server Samba è solitamente usato per la condivisione di file fra sistemi compatibili. Samba conserva tre tipi di log differenti nella sottodirectory /var/log/samba:
log.nmbd: annota tutti i messaggi relativi al NETBIOS Samba sopra la funzionalità dell'IP;
log.smbd: annota tutti i messaggi relativi alle funzionalità del SMB/CIFS Samba;
log.[IP_ADDRESS]: annota i messaggi relativi alle richieste per i servizi dall'indirizzo IP presente nel nome del file, per esempio log.192.168.1.1.
Posizione: /var/log/samba
Esempio:
grep "master browser" /var/log/samba/log.nmbd | less less /var/log/samba/log.nmbd grep started /var/log/samba/log.smbd | less less /var/log/samba/log.192.168.99.99
Registro di X
Il server grafico X memorizza le proprie attività all'interno del file /var/log/Xorg.0.log.
Posizione: /var/log/Xorg.0.log
Esempio:
grep freetype /var/log/Xorg.0.log | less
Log non umanamente intellegibili
Tra i vari file presenti in /var/log ve ne sono alcuni destinati ad essere letti da particolari applicazioni, non necessariamente da esseri umani. Quelli che seguono sono degli esempi di questi particolari tipi di registro.
Registro degli accessi falliti
È possibile visualizzare il log degli accessi falliti al sistema tramite il comando faillog.
Posizione: /var/log/faillog
Esempio:
faillog
Registro degli ultimi accessi
È possibile esaminare il registro degli ultimi accessi effettuati tramite il comando lastlog.
Posizione: /var/log/lastlog
Esempio:
lastlog | less
Registro degli accessi
È possibile esaminare il registro in questione in modo da conoscere gli utenti attualmente loggati nel sistema attraverso il comando who.
Posizione: /var/log/wtmp
Esempio:
who
System Logging Daemon
rsyslogd è un servizio di sistema che ha il compito di gestire, ricevere, reindirizzare (in locale o attraverso la rete) e memorizzare i messaggi di log proveniente dagli altri sottosistemi (servizi, applicazioni ecc.).
In Ubuntu ha da tempo sostituito syslogd, un servizio equivalente precedentemente utilizzato nei sistemi unix-like, con cui è in gran parte retrocompatibile (ad esempio possono essere facilmente esportate le regole di syslogd in rsyslogd).
Configurazione
Il file /etc/rsyslog.conf contiene la configurazione del servizio rsyslogd. Per informazioni sul contenuto digitare nel terminale il seguente comando:
man /etc/rsyslog.conf
Inviare messaggi al registro di sistema
Una delle funzionalità del comando logger permette di inserire messaggi in uno dei log di sistema in modo arbitrario. Questo è uno strumento molto potente che è possibile usare quando è necessario inserire delle informazioni all'interno del log del sistema, oppure all'interno di script amministrativi.
Il seguente esempio mostra un ipotetico utente mario che inserisce un messaggio in /var/log/syslog dopo una modifica effettuata ad un file di configurazione del sistema:
logger Ho modificato il file /etc/fstab
Nel file /var/log/syslog comparirà una riga simile alla seguente:
Jan 12 23:17:02 localhost mario: Ho modificato il file /etc/fstab
È possibile usare il comando logger all'interno di script, i cui risultati saranno visibili sia come output nel terminale sia all'interno del file /var/log/syslog.
Rotazione dei log
A intervalli di tempo predefiniti, i file di log vengono prima ruotati, ovvero automaticamente rinominati e sostituiti da nuovi file, dunque compressi con gzip, allo scopo di ridurre lo spazio necessario alla loro memorizzazione, mantenendoli però sempre disponibili per controlli futuri.
Il comando logrotate si occupa della rotazione dei file di log. Di norma, logrotate, il cui file di configurazione risiede in /etc/logrotate.conf, viene lanciato a intervalli periodici dal servizio cron.
Ulteriori risorse
Documento originale del wiki internazionale (non aggiornato)
Rsyslog (Wiki Debian internazionale)
Viewing and Managing Log Files (Documentazione Red Hat)
journalctl (pagina man)
