GNU/Linux >> Belajar Linux >  >> Cent OS

Memahami file /etc/rsyslog.conf untuk mengkonfigurasi System Logging

Semua pesan sistem dan kernel diteruskan ke rsyslogd. Untuk setiap pesan log yang diterima Rsyslog melihat file konfigurasinya, /etc/rsyslog.conf untuk menentukan bagaimana menangani pesan itu. Rsyslog melihat melalui file konfigurasi untuk semua pernyataan aturan yang cocok dengan pesan itu dan menangani pesan seperti yang ditentukan oleh setiap pernyataan aturan. Jika tidak ada pernyataan aturan yang cocok dengan pesan, Rsyslog akan membuangnya. Pernyataan aturan menentukan dua hal:
1. pesan apa yang cocok (pemilih), dan
2. apa yang harus dilakukan dengan pesan yang cocok (tindakan).

Pemilih

Pesan yang akan dicocokkan ditentukan oleh pemilih yang cocok dengan fasilitas dan prioritas, sedangkan tindakan untuk diterapkan ke pesan yang cocok ditentukan oleh bidang tindakan. Misalnya, baris konfigurasi berikut memberitahu Rsyslog untuk menerapkan tindakan /var/log/kernlog ke semua pesan dengan fasilitas kern dan tingkat debug:

# cat /etc/rsyslog.conf
kern.debug             /var/log/kernlog

Pernyataan prioritas dalam penyeleksi bersifat hierarkis. Rsyslog akan mencocokkan semua pesan dengan prioritas yang ditentukan dan lebih tinggi. Selector kern.debug cocok dengan semua pesan yang dihasilkan oleh kernel dengan prioritas debug atau lebih tinggi; karena debug adalah prioritas serendah mungkin, pemilih kern.debug cocok dengan semua pesan dengan fasilitas kern. Selain itu, tanda bintang dapat digunakan sebagai karakter pengganti untuk mewakili semua prioritas, sehingga kern.* juga akan cocok dengan semua pesan yang dihasilkan oleh kernel.

Berbeda dengan bidang prioritas, bidang fasilitas tidak hierarkis. Namun, masih mungkin untuk mencocokkan beberapa pesan dari fasilitas yang berbeda. Beberapa pemilih dapat dicantumkan dalam satu baris, dipisahkan oleh titik koma. Ini dapat berguna ketika tindakan yang sama perlu diterapkan ke beberapa pesan. Demikian pula, wild-card asterisk dapat digunakan untuk menentukan semua fasilitas, menyediakan metode lain untuk menerapkan tindakan ke berbagai pesan.

Fasilitas dan Prioritas Syslog

Fasilitas ini digunakan untuk menentukan jenis program apa yang menghasilkan pesan. Daemon Syslog kemudian dapat dikonfigurasi untuk menangani pesan dari sumber yang berbeda secara berbeda. Tabel ini mencantumkan fasilitas standar dengan deskripsi singkat tentang kegunaannya:

Fasilitas Deskripsi
auth/authpriv pesan keamanan/otorisasi
cron pesan daemon crond dan atd
daemon daemon sistem lainnya
kern pesan kernel
lokal0 – lokal7 dipesan untuk penggunaan lokal
lpr subsistem printer baris
surat subsistem email
berita Subsistem berita USENET
syslog pesan yang dibuat secara internal oleh daemon log sistem
pengguna pesan tingkat pengguna umum
uucp Subsistem UUCP

Prioritas, atau tingkat, dari sebuah pesan dimaksudkan untuk menentukan pentingnya sebuah pesan. Tabel ini mencantumkan tingkat prioritas standar dengan deskripsi singkat tentang artinya:

Prioritas Deskripsi
muncul sistem tidak dapat digunakan
peringatan tindakan harus segera diambil
kritik kondisi kritis
salah kondisi kesalahan
peringatan kondisi peringatan
pemberitahuan kondisi normal, tapi signifikan
info pesan informasi
debug men-debug pesan

Tindakan

Banyak tindakan yang mungkin, meskipun hanya satu yang dapat dimasukkan dalam aturan:

  • Nama file dapat dicantumkan di bidang tindakan, yang menentukan lokasi file tempat pesan yang dipilih harus ditulis. File ini dapat berupa file teks, seperti biasanya, tetapi juga dapat berupa file perangkat seperti terminal atau printer.
  • Nama pengguna juga dapat ditentukan. Jika pengguna yang disebutkan masuk ke sistem saat Rsyslog memproses pesan, pesan akan dicetak ke semua terminal pengguna tersebut.
  • Sebuah tanda bintang untuk tindakan tersebut memberi tahu Rsyslog untuk menulis pesan ke semua pengguna yang masuk (menuju semua terminal aktif).
  • Pesan dapat dikirim ke host jarak jauh. Tindakan @host memberi tahu Rsyslog untuk meneruskan pesan ke host mesin, tempat pesan tersebut akan diproses lagi oleh daemon Syslog host tersebut.

File /etc/rsyslog.conf default

Di bawah ini adalah file konfigurasi default /etc/rsyslog.conf di CentOS 6.

# cat /etc/rsyslog.conf 
# rsyslog v5 configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES ####

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
#$ModLoad immark  # provides --MARK-- message capability

# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514


#### GLOBAL DIRECTIVES ####

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on

# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf


#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log


# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$WorkDirectory /var/lib/rsyslog # where to place spool files
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList   # run asynchronously
#$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###


Cent OS

  1. Memahami file /etc/xinetd.conf di Linux

  2. Memahami file /etc/security/limits.conf

  3. Bagaimana cara memonitor file /etc/shadow dan /etc/passwd untuk perubahan dengan Auditd?

  1. Centos – Apa Perbedaan Antara /usr/lib/systemd/system Dan /etc/systemd/system?

  2. Memahami Direktori /etc/sysconfig

  3. Cara mengatur /etc/issues untuk menampilkan alamat IP untuk eth0

  1. Memahami file Konfigurasi dm-multipath /etc/multipath.conf

  2. Contoh file /etc/multipath.conf

  3. Memahami file Konfigurasi kdump /etc/kdump.conf