Olkol: Новая страница: «Категория: Учебники '''Учебник. Наблюдайте за тем, что происходит в Linux, с syslog-ng '…»

2018-10-30T13:20:20Z

Новая страница: «Категория: Учебники '''Учебник. Наблюдайте за тем, что происходит в Linux, с syslog-ng '…»

Новая страница

[[Категория: Учебники]]

'''Учебник. Наблюдайте за тем, что происходит в Linux, с syslog-ng '''

== Журналы: Следим за системой ==

''Есть такое место, где Linux прячет свои самые глубокие и темные секреты. Нейл Ботвик бестрепетно заглядывает туда.''
[[Файл:LXF160.tut_hdrive.expert.jpeg.png |left |100px |thumb|'''Наш эксперт'''. У Нейла Ботвика по компьютеру в каждой комнате, но он нипочем не скажет вам, где находится центральный сервер – по соображениям безопасности.]]

В вашей системе есть каталог, куда вы, возможно, никогда не заходили; но он жизненно необходим и очень полезен, если что-то разладится. Это /var/log; в нем есть файлы журналов (они же – лог-файлы) почти всех действий, происходящих в системе. Большую часть операций журналирования выполняет системный логгер. Это фоновый демон, управляющий записью в лог-файлы – что позволяет не писать в каждой программе свой код для ведения журналов: все они вызывают одни и те же системные функции. В Linux несколько таких логгеров; они делают почти одно и то же. Мы займемся syslog-ng, одним из самых популярных. Почти все сказанное будет верно для любого из них.

Зачем нужен системный логгер? Причину мы уже назвали: чтоб не дублировать код. Это также означает, что логгер может быть гораздо более гибким и мощным. Обычно он пишет все сообщения в один файл в каталоге /var/log (в случае с syslog-ng – файл messages). Но это не единственный вариант: сообщения можно отправлять в разные файлы по разным критериям, и даже перенаправлять другому логгеру на другой компьютер.

Обычная строка из лог-файла выглядит примерно так:

Aug 16 16:54:51 hactar smartd[3191]: Device: /dev/sdc [SAT],SMART Usage Attribute: 194 Temperature_Celsius changed from 101 to 100

Каждая запись в лог-файле – это одна строка, начинающаяся с даты и времени; затем следуют имя хоста и команда. В данном примере это команда smartd – демон, отслеживающий состояние жесткого диска, с идентификатором процесса 3191 (идентификатор указывается не для всех процессов, но для большинства). После имени процесса и идентификатора идет двоеточие, а за ним – само сообщение. Единого формата сообщений нет: это то, что программа отправляет логгеру. В этом примере smartd сообщает об изменении температуры одного из жестких дисков. Зная, что делает системный логгер, вы с его помощью сможете отслеживать происходящее в вашей системе. Одна из нередких ситуаций – посмотреть, что идет не так при попытке запуска программы или использования устройства. Команда tail показывает десять последних строк файла, но добавьте параметр --follow, и она будет показывать новые строки файла; таким образом, команда

tail --follow /var/log/messages

будет выводить новые сообщения по мере их записи в лог-файл. Системный лог-файл часто не имеет доступа на чтение для всех, и может понадобиться выполнить эту команду от имени суперпользователя-root или с префиксом sudo, иначе ничего не увидишь. Для просмотра, как это работает, запустите команду и вставьте флэшку. Вы увидите системные сообщения о том, что обнаружен USB-диск, идентифицирован как устройство хранения данных и прочитана его таблица разделов. Имя процесса в данном случае – kernel, так как горячее подключение устройств обрабатывается напрямую ядром. Так как в фоне выполняются и другие процессы, в вывод команды могут попасть сообщения от любого из них. Отфильтровать их можно с помощью grep. Команда

tail --follow /var/log/messages | grep kernel:

исключит все сообщения, в которых нет слова kernel: – завершающее: необходимо, чтобы выделить только сообщения от ядра.

===Создаем фильтры===

Помещать все сообщения в один файл – не всегда лучший вариант. Некоторые программы генерируют массу сообщений, которые лучше отделить от прочих. Для этого задаются правила фильтров в файле /etc/syslog-ng/syslog-ng.conf. В нем источники, места назначения и фильтры представлены объектами, а связывают их записи в лог-файле. В конфигурации по умолчанию стандартный источник определяется так:

source src {

unix-stream(“/dev/log” max-connections(256));

internal();

file(“/proc/kmsg”);

};

Здесь создан объект источника src, принимающий записи журнала от разных источников. Затем определим места назначения:

destination messages { file(“/var/log/messages”); };

destination console_all { file(“/dev/tty12”); };

Первая строка выводит записи в указанный файл, вторая – в консоль. В этом можно убедиться, нажав Ctrl + Alt + F12 или перейдя в стандартную консоль входа в систему 1 (Ctrl + Alt + F1 с рабочего стола) и затем нажав Alt+стрелка влево. Источник и место назначения готовы; теперь определим формат записей, отправляемых с первого на второе. В конфигурации по умолчанию стандартный источник отправляется в оба места назначения.

log { source(src); destination(messages); };

log { source(src); destination(console_all); };

Здесь можно добавить новые источники или места назначения и фильтры, определяющие, что куда отправить. Вот пример, где вывод почтового сервера посылается в отдельный файл mail.log:

destination d_mail { file(“/var/log/mail.log”); };

filter f_mail { facility(mail); };

filter f_notmail { not facility(mail); };

Строки с источником нет – мы все еще пользуемся стандартным источником. В качестве места назначения задается отдельный лог-файл для почты, а два фильтра с помощью функции facility определяют, какие сообщения приходят от почтового сервера. Есть несколько стандартных групп – например, mail, auth или news (в документации есть полный список), и при отправке сообщения процесс указывает одну из групп. Преимущество такого подхода в том, что не нужно знать имя процесса: сообщения будут отфильтрованы для любой почтовой программы. Второй фильтр работает как отрицание и выбирает все сообщения не от почты. Имена объектов источника (source), фильтра (filter) и места назначения (destination) обычно предваряются префиксами s_, f_ и d_, чтобы было сразу понятно, какой объект следует за префиксом. Теперь заменим первые две строки на следующие:

log { source(src); filter(f_notmail); destination(messages); };

log { source(src); filter(f_mail); destination(d_mail); };

Теперь между источником местом назначения появился фильтр, и в лог-файл попадут только должные сообщения. Не создай мы фильтра notmail, оставив исходную строку, сообщения попали бы не только в лог-файл почты, но и в лог-файл по умолчанию. Но сообщения по-прежнему отправляются в консоль, так как этого мы не меняли. При любых изменениях в конфигурационном файле нужно сообщить syslog-ng о том, что нужно перечитать его, отправив ей сигнал SIGHUP таким образом:

sudo killall -HUP syslog-ng

===Держим это под контролем===

Если ваш корневой раздел (/) начал переполняться, проверьте содержимое /var. Вышедший из-под контроля процесс может писать в свой лог-файл огромный объем данных, быстро съедая ценное место на диске. Это одна из причин, по которым многие предпочитают размещать /var на отдельном разделе. Переполнение раздела / способно вызвать нехорошие последствия для системы.

Со временем содержимое каталога /var/log будет отнимать все больше места на диске. Чтобы решить эту проблему, установим logrotate. Она запускает cron, обычно раз в день, и архивирует лог-файлы в соответствии с правилами в /etc/logrotate.conf и /etc/logrotate.d. /etc/logrotate.conf – общий конфигурационный файл, а в /etc/logrotate.d находятся отдельные наборы правил, применяемые к конкретным пакетам или лог-файлам. В общем конфигурационном файле находятся настройки вроде

weekly

rotate 4

create

compress

которые означают, что по умолчанию лог-файлы архивируются еженедельно, хранится до четырех последних копий, при архивировании текущего создается новый пустой файл, и что файлы сжимаются. На практике это означает, что основной лог-файл messages упаковывается в messages.1.gz и создается новый пустой файл messages. При следующей архивации messages.1.gz переименовывается в messages.2.gz и создается новый messages.1.gz. Четвертый файл удаляется, чтобы расчистить дорогу остальным. К параметрам можно добавить dateext, и вместо цифр 1, 2 и 3 к именам файлов будет добавляться дата. Файл для syslog-ng в /etc/logrotate.d будет выглядеть примерно так:

/var/log/messages {

postrotate

/etc/init.d/syslog-ng reload > /dev/null 2>&1 || true

endscript

}

Здесь указываются архивируемый файл (его имя может задаваться шаблоном) и правила. В данном случае единственное правило, особенное для этого файла – команда postrotate, выполняемая после завершения архивации, чтобы syslog-ng перечитал конфигурационный файл. Это также снимает блокировку со старого лог-файла и открывает новый. Здесь можно указать любые параметры из глобального файла чтобы перезагрузить их. Например, можно хранить более длинную историю для конкретного лог-файла, включив параметр:

rotate 8

Если вас беспокоит непомерное увеличение размера лог-файлов, когда пошедшая вразнос программа будет писать туда слишком много сообщений, добавьте параметр

maxsize 10M

для принудительной архивации при достижении размера файла в 10 МБ, даже если время архивации еще не пришло. Обратите внимание, что это произойдет только при запуске задания cron, поэтому файл может успеть стать намного больше. Однако лог-файлы хорошо сжимаются, и сжатие разбухшего файла высвобождает много свободного места.

Просматривать лог-файлы вручную не обязательно: есть программы, которые проанализируют их и сформируют отчет. Такие программы как logwatch (www.logwatch.org) и logcheck (http://packages.debian.org/sid/logcheck) просканируют системные лог-файлы и отправят вам отчет с предупреждениями о любых аномалиях. Есть и программы, которые строят диаграммы для лог-файлов конкретных приложений – например, диаграммы трафика через Apache.

Пока мы говорили только о чтении лог-файлов, но командой logger в системный лог можно записать данные и из оболочки (или скрипта), примерно так:

logger -i -t myscript “Ваш скрипт рухнул”

Параметр -t помечает запись, параметр -i добавляет в журнал идентификатор процесса, а за ними следует сообщение. |

LXF164: Мониторить сис­те­му - История изменений

Olkol: Новая страница: «Категория: Учебники '''Учебник. На­блю­дай­те за тем, что про­ис­хо­дит в Linux, с syslog-ng '…»

LXF164: Мониторить систему - История изменений

Olkol: Новая страница: «Категория: Учебники '''Учебник. Наблюдайте за тем, что происходит в Linux, с syslog-ng '…»