esemény regisztrációs rendszer syslog - szilárd ismeretekkel rendelkeznek a Unix rendszerek
Syslog - egy komplett naplózó rendszer által írt Eric Allman (Eric Allman). Sok gyártó használja, hogy ellenőrizzék a vonatkozó információ a rendszert, és a közművek.
Syslog A rendszer végrehajtja két fontos funkciója van: megszabadítja a programozók az unalmas kézi munka tartása log fájlokat, és átadja a vezérlést a rendszergazda regisztrációs kezét. Eljövetele előtt a syslog minden program maga is választhat a bejegyzési politika és a rendszergazdák nem voltak képesek ellenőrizni, hogy milyen információkat, és hol tárolják.
A rendszer rendkívül rugalmas. Ez lehetővé teszi, hogy rendezni az üzeneteket forrás és fontosságát ( „súlyosság” a syslog rendszer terminológia), és elküldi őket, hogy különböző célpontok :. A naplófájlokat a felhasználói terminál, és még más gépeken egyik legértékesebb jellemzője ennek a rendszernek az a képessége, hogy központosított naplózás folyamat a hálózatban.
Syslog A rendszer három részből áll:
- syslogd - olyan démon, amely végrehajtja a regisztrációs (a konfigurációs fájl /etc/syslog.conf);
- openlog (), a syslog (), closelog () - könyvtári függvények üzeneteket továbbít démon syslog;
- logger - felhasználói szintű parancsot vesz üzenetekhez a parancssorból.
A jel „rebound” (HUP szignál 1) syslog démon bezárja svoii regisztrációhoz fájlokat, beolvassa a konfigurációs fájlt, és újra indul a regisztrációs folyamatot. Ha megváltoztatja syslog.conf fájlt. Meg kell küldeni egy HUP jelet syslogd, különben a változások nem lépnek életbe. A jel időtartama végén a démon.
Syslogd démon írja a folyamat azonosító (PID) a /var/run/syslog.pid fájl (egyes rendszerek - a /etc/syslog.pid fájl). Ez megkönnyíti a jelek átvitelének a démon szkripteket. Például a következő parancs kimenete a jelet lámpaoltás:
% Kill -HUP '/ bin / cat /var/run/syslog.pid'
Megpróbálja húzza vagy cserélje ki a log fájlt, amely megnyitotta a syslogd rögzítésére, ésszerűtlen és vezet kiszámíthatatlan következményekkel jár. Egyes gyártók kínálnak egy üres script (gyakran ez a / usr / lib / newsyslog), amelynek célja - a forgatás log fájlokat. Továbbfejlesztett változata a forgatókönyvet, az úgynevezett Rötz. elérhető az interneten helyszínen www.admin.com.
Konfigurálása syslog démon
Hozzászólások a syslogd démon függ a fájl tartalmát /etc/syslog.conf. Ez egy szöveges fájl viszonylag egyszerű formátum. Üres sorok és vonalak. kezdve a kettőskereszt (#) nem veszi figyelembe. Az alap a fájl formátuma a következő:
választó <Таb> hatás
megőrzi az üzeneteket az e-mail rendszer a / var / log / maillog. Field választó, és megfelelő intézkedéseket kell választani egy vagy több tab stop karakter; terek nem használhatók elválasztó, és láthatatlanná válnak a hibákat, amelyeket nagyon nehéz nyomon követni. Az egyik módja annak, hogy az ilyen hibákat - műveletek szöveg kivágás és beillesztés, ha dolgozik, több ablak GUI.
Selector jelzi a program ( „ügynök” a syslog rendszer terminológia), amely elküldi a regisztrációs üzenetet, és súlyossága az üzenetet. választó formátum:
Nevek a kábítószerek és súlyossági szintek közül kell kiválasztani a standard értékek listája; A program nem tudja, hogy a saját listáját. Vannak eszközök kifejezetten a mag, egy csoport általános programok a helyi programokat. Minden más keretében tartott az általános neve „user” (vagyis a felhasználó).
Selectors tartalmazhat kulcsszavakat, * és nincs, aki rendre a „minden” és „semmi”. A kiválasztó tartalmazhat csoport eszközöket, vesszővel elválasztva. Az is lehetséges, elválasztás pontosvesszővel.
Általában a szelektorok egyesítjük egy logikai VAGY; Egy üzenetnek megfelelő bármely szelektor, végrehajtja a megadott műveletet a megfelelő mezőbe. szint választó jelent sem kivétel ott felsorolt jelenti, függetlenül attól, hogy mi van megadva a többi szelektorai ugyanabban a sorban.
Az alábbiakban példák szelektoroktól:
Táblázat. 11.2 listák érvényes neveit az alapok. A legtöbb változat syslog rendszer által meghatározott 18 járművek (a legújabb verzió - 21). Egyes nevek vannak fenntartva későbbi használatra.
Syslogd démon maga is termel jelentések időbélyeget rögzítésre kerülnek, ha azok Választókapcsolót syslog.conf fájlt az eszközt „jel”. Időbélyegek segít meghatározni, hogy pontosan mikor a gép üzemen kívül helyezése: nem csak „ma” és a „3:00-03:20 az éjszaka.” Ez nagyon hasznos, ha hibaelhárítás problémák fordulnak elő rendszeresen. Például több szervezet a rendszer titokzatos sboili, amíg kiderült, hogy a takarítónő késő közé porszívók, tehát blokkolja számítógépek.
Amikor a rendszer terhelése, a másik regisztrált üzenetek gyakran tartalmaznak sok időt bélyegek. De ez nem mindig történik meg, különösen reggel.
Súlyossági szintek lehetségesek fontossági sorrendben a táblázatban. 11.3.
Ezzel szemben a közös rendszer üzenetet besorolás, FreeBSD lehetővé teszi, hogy kiválassza üzenetek alapján a program nevét, ahonnan jöttek, és nem homályos, határozatlan neve jelent. Sajnos, a syslog démon nincs információja a programokat, így kénytelen üzenetek megtekintéséhez a témában e vagy sem indul a program neve és a vastagbélben. Például, egy üzenet
Úgy fogják ismerni, mint kapott a named démon. A syslog.conf filejaban kapcsolatos üzenetek érkeznek speciális programok, amelyek megelőzik egy felkiáltójel, és a program nevét. Például, sor:
hogy a syslog démon küldeni az összes üzenetet a named démon /var/log/named.log fájlt.
Megoszlása üzenetek alapján a program nevét - nem a legjobb módja annak, hogy vezéreljük. Ez alapján bizonyos szabályok kialakulásának üzeneteket, majd messze nem minden program.
Érvek démon syslog parancssorban lehet helyezni /etc/rc.conf állományba. úgy, hogy azok automatikusan aktiválódik a rendszerindítás során. Például:
syslogd_flags = "- egy 128.138.192.0/20 s * .cs.colorado.edu"
Ebben a konfigurációban nem sok információt helyben tárolja. Meg kell jegyezni, hogy ha netloghost számítógép ki van kapcsolva vagy nem elérhető, jelentkezzen üzenetek véglegesen elvész. Ebben az esetben, akkor létrehozhat helyi másolatot a fontos üzeneteket.
A szervezet, amely telepített nagy mennyiségű helyi szoftver, feleslegesen sok üzenet rögzíthető segítségével a „felhasználó”, hogy „emerg” szinten. A bemutatott példában, egy ilyen helyzet minden bizonnyal eliminálódik a user.none expresszió az első sorban.
A második és harmadik sor arra szolgálnak, hogy a fontos üzeneteket egy központi regisztrációs szerver; Üzenetek nyomtatási alrendszer és az egyetem a kártyás beléptető rendszer küldenek egy másik helyen. A negyedik sorban a helyi szervező küldő regisztrációs információk is a központi számítógépen. Az ötödik sorban a regisztrációs információt a kártyás beléptető rendszer küld a központi gépen sziklát. Az utolsó két sor biztosít tárhelyet a helyi másolatot üzenetek nyomtató hibák és regisztrációs sudo programot üzeneteket.
Központi regisztráló egység
Ez egy példa az netloghost számítógép - központi regisztrációs egység rendkívül megbízható közepes méretű hálózat 400-500 autó.
# Fájl syslog.conf Informatikai Kar
# Regisztráció a fő oldalon
A regisztrációs üzeneteket a helyi profamm és syslogd egy hálózathoz, a fájlok vannak írva a fenti. Bizonyos esetekben a kimeneti információt az egyes hatóanyagok elszámolni egy külön fájlban.
Központi nyilvántartási számítógép egy időbélyeg minden kapott üzenetet. Ez az idő nem mindig esik egybe az időben küldi az üzenetet. Ha Ön már regisztrált lévő számítógépek különböző időzónák, vagy az óra nincs szinkronban, az idő információ pontatlan.
Példa syslog rendszer kimeneti információk
Az alábbiakban bemutatjuk egy részét a log fájlokat másolt a fő regisztrációs oldalon Colorado State University számítógépes mérnöki kar. Ez a számítógép megkapja a regisztrációs adatokat körülbelül kétszáz gép.
December 18. 15:12:42 avl8.cs.colorado.edu sbatchd [495]: sbatchd / fő: ls_info () sikertelen: LIM le van fektetve; próbálkozzon később; próbálkozik.
December 18. 15:14:28 proxy-l.cs.colorado.edu pop-proxy [27283]: Csatlakozás a 128.138.198.84
December 18. 15:14:30 mroe.cs.colorado.edu pingem [271]: maltese-office.cs.colorado.edu nem válaszol 42 alkalommal
December 18. 15:15:05 schwarz.cs.colorado.edu vmunix: Több lágyabb RvagyS: Seen 100 Korrigált Softerrors származó SIMM J0201
December 18. 15:15:05 schwarz.cs.colorado.edu vmunix: AFSR = 0x4c21, AFARO =
0x87ffdd30, AFAR1 = oxb8f8a0
December 18. 15:15:48 proxy-l.cs.colorado.edu pop-proxy [27285]: Csatlakozás a 12.2.209.183
December 18. 15:15:50 avl8.cs.colorado.edu utolsó üzenet 100-szor megismételjük
Ez a példa azt mutatja kapott információk több jármű (avl8 proxy-1 és Schwarz ..), és több program: sbatchd, pop-proxy, pingem és vmunix (mag). Ügyeljen arra, hogy az utolsó sor, amely így szól az üzenet, ismételje meg 100-szor. Ahhoz, hogy csökkentse a log fájlokat, syslog rendszer általában megpróbálja egyesíteni az ismétlődő hozzászólásokat, és helyettük egy string összegző. Azonban a számítógép, amelyen a fájlt vették tudomásul jelentkezzen üzenetek egy sor más számítógépek, így erre az üzenetre lehet egy kicsit kopogtatni az olvasó zavaros. Arra utal, hogy egy korábbi üzenetet avl8 számítógépet. inkább, mint az előző üzenetet a log fájlt.
Javasoljuk, hogy rendszeresen ellenőrizze a log fájlokat. Megállapítására, hogy milyen az állapota normális, hogy abban az esetben, eltérés a norma azonnal észre. Még jobb, meg a log file feldolgozó program, mint a Swatch. ami nem ugyanaz a dolog automatikusan (lásd. par. 11,6).
Fejlesztése a regisztrációs rendszer egy adott szervezet
Egy kis szervezet ilyen konfiguráció elegendő lesz-nyilvántartási rendszer, amelyben a kritikus rendszerhiba és figyelmeztető üzenetek vannak tárolva egy külön fájlban minden egyes számítógépen. Alapvetően ez volt, mielőtt a syslog-rendszer. syslog.conf fájl lehet igazítani minden egyes gépen.
Egy nagy hálózat megköveteli központosított regisztráció. Ez a megközelítés lehetővé teszi, hogy ellenőrizzék az információáramlás, és - ha szerencsés -, hogy elrejtse a kapott vizsgálati adatok a személy, aki feltörte a biztonsági rendszer bármilyen számítógépes hálózaton. Hackerek gyakran megváltozik a rendszer log fájlokat, hogy fedezze a nyomait; Ha a regisztrációs adatokat azonnal elrejti, majd hamis ez lesz sokkal nehezebb. Ne feledje azonban, hogy bárki hívni syslog rendszer, és hozzon létre feljegyzések, állítólag küldött egy démon, vagy egy segédprogram. Ezen túlmenően, a syslog rendszer az UDP protokollt, ami nem megbízható, mert nem garantálja az üzenetek kézbesítése. A hálózaton elérhető tűzfal tiltják a külső csomópontok továbbítja az üzeneteket a syslog démon.
Mint egy szerver felvevő, válassza ki a gépen fut stabil, jobb, mint az egyének ahová a belépés korlátozott és jól kontrollált, és ahol kevés a regisztrált felhasználók számára. Más számítógépek a hálózaton használhatja az alapvető konfigurációs fájlban tárolt egy központi helyszínen. Ezért szükséges, hogy végezzen csak két változatban a syslog.conf fájlt. Ez biztosítja a teljesség regisztrációs nélkül fordult be egy rémálom az adminisztrátor számára.
Néhány nagy szervezetek szükségesnek találják, hogy kössön hierarchia szintek további regisztráció. Sajnos, a jelenlegi verzió syslog rendszer tárolja a feladó nevének a gép csak egy szállítmány. Ha az ügyfél gép elküldi a gépkocsi-regisztrációs adatok szerver, amely továbbítja azokat a fogadó számítógép, az utóbbi kezeli az adatokat a szervertől kapott, és nem a kliens.
Programok A syslog-rendszer
mikrogramm projekt megjelent LineageOS szerelvény egy alternatív végrehajtását Google-szolgáltatások
Ennek része a build LineageOS az mikrogramm elő variáns LineageOS platform (folyamatos fejlesztését CyanogenMod), amely javasolja egy alternatív végrehajtását az ingyenes Google szolgáltatásokat.
ACT Alapítvány számolt felhasználói adatok szivárgás miatt kihagyott mentés
Free Software Foundation figyelmeztette az esetről, ami a nyilvánosság nem függ olyan információ nyilvánosságra a projekthez kapcsolódó Hibás By Design, beleértve.
Alakult kiigazítás kiadja egy speciális böngésző Tor Browser 7.0.9, orientált garantálja az anonimitást, a biztonság és az adatvédelem. Böngésző épülő Firefox és alapkód.
A szervezet ellen Software Freedom Conservancy beperelte, hogy visszavonja a védjegy
Szervezet Software Freedom Felügyelőség (SFC) bejelentette kézhezvételét visszavonhatják a védjegy által kezdeményezett szervezet Software Freedom Law Center (SFLC). A perben azt állítja, hogy a kereskedelemben.