Analisando Logs no Linux (Artigo)

[alexandrehkk]

################################################## ##########
# Analisando Logs no Linux
# Por alexandrehkk - alexandrehkk@linuxmail.org #
################################################## ##########


O objetivo desse artigo é que possamos aprender a analisar os logs do sistema Linux, ele surgiu com a necessidade que eu tinha de aprender sobre logs, deem uma fuçada no diretório /var/log, pois éh láh que buscaremos o Ouro . O artigo será dividido em duas partes, estou coletando mais informções e estudando mais sobre o Assunto e já estou escrevendo a parte 2. Boa Leitura



O que é um log?

Um log é um arquivo texto que tem por finalidade registrar tudo o que ocorre no sistema.
Os sistemas Unix-like possuem um serviço exclusivo de manutenção de logs que pode ser utilizado por qualquer aplicação no sistema , na maioria das vezes esse mecanismo éh utilizado pelo kernel e pelos serviços conhecidos como deamons, pois eles não tem o terminal como saída para suas mensagens, uma vez que são executados em background. Existe um serviço responsável por esse mecanismo, o syslogd. Assim como todo servidor o syslog é iniciado como um daemon, ou seja inicia automáticamente durante o boot
Os registros executados pelo syslogd podem ser classificados pela aplicação ou serviço que solicitou o registro mais o nível de informação gerada. O solicitante pode ser, por exemplo: kern para informações do Kernel; mail - Para informações do servidor de Correio; user - Para registros originados de aplicações dos usuários; auth - Para aplicações que utilizam autenticação, etc.
Abaixo você terá uma tabela dos níveis:

--------- -------------
| Nível | | Descrição |
--------- -------------
debug Mensagens relativas a atividades de debug

info Mensagens Informativas

notice Mensagens observativas

warning Avisos

err Mensagens de erros

crit Mensagens críticas

alert Mensagens de alerta

emerg Mensagens de Emergência

none Mensagens sem qualquer classificação


O destino dos registros pode ser qualquer arquivo em qualquer file system, ou até mesmo um pc remoto


Agora vamos entender o arquivo de configuração, o syslog.conf
Vamos analisar o arquivo

alexandre@debian-br-cdd:~$ cat /etc/syslog.conf
# /etc/syslog.conf Configuration file for syslogd.
#
# For more information see syslog.conf(5)
# manpage.

#
# First some standard logfiles. Log by facility.
#

auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
uucp.* /var/log/uucp.log

#
# Logging for the mail system. Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err

# Logging for INN news system
#
news.crit /var/log/news/news.crit
news.err /var/log/news/news.err
news.notice -/var/log/news/news.notice

#
# Some `catch-all' logfiles.
#
*.=debug;
auth,authpriv.none;
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg *

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;
# news.=crit;news.=err;news.=notice;
# *.=debug;*.=info;
# *.=notice;*.=warn /dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility. To use it,
# you must invoke `xconsole' with the `-file' option:
#
# $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
# busy site..
#
daemon.*;mail.*;
news.crit;news.err;news.notice;
*.=debug;*.=info;
*.=notice;*.=warn |/dev/xconsole




______________________________________Termina a arquivo___________________________________________ ____________

As linhas do arquivo seguem o layout "recurso.nivel arquivo_de_registro", e ainda podemos utilizar alguns caracteres especiais conforme a tabela a seguir.


------------- -------------
| Caractere | | Descrição |
------------- -------------

* Todos os níveis ou recursos

= É usado para montar esquemas de logging de maneira a restringir o registro apenas a
determinado nível ou recurso.


- Indica uma exceção para um recurso ou nível


! Sinal de negação, utilizado para montar esquemas de logging de maneira a especificar
níveis ou recursos que não devem ser registrados.


As primeiras linhas do arquivo, começadas com # são comentários informátivos e as demais são instruções:
Vejamos um exemplo:

auth,authpriv.* /var/log/auth.log

Essa linha acima pede para o syslog grava todas as informações da instrução auth (autenticação) no /var/log/auth.log





Arquivo Messages


Agora vamos entender como funciona o arquivo messages, é a partir dele que começamos a investigação de qualquer problema do sistema, pois ele é o que contém mais informações genéricas do sistema. Abaixo veremos um trecho do arquivo messages

debian-br-cdd:/home/alexandre# cat /var/log/messages |more
Dec 11 06:47:02 localhost syslogd 1.4.1#17: restart.

Conforme podemos observar o próprio syslog utiliza esse arquivo para logar as informações de seu inicio

[J.Augusto]

- Esse conteúdo está muito introdutório... Nem se quer tece como se fazer um Servidor de Logs, que é o que interessa com relação a esse assunto numa rede.

- No guia foca:http://www.guiafoca.org/ vc pode encontrar informações mais consistentes a respeito.

- E aqui algo mais profundo sobre Logs===>http://www.guiafoca.org/guia/avancado/ch-log.htm

Mais tb aki--->http://www.guiafoca.org/guia/avancado/index.htm

[#nil#]

- Esse conteúdo está muito introdutório... Nem se quer tece como se fazer um Servidor de Logs, que é o que interessa com relação a esse assunto numa rede.

Caro Augusto nada pessoal,mas porque seus comentarios são sempre em tons desmerecedores. Vc está sempre se comportando como se fose um dos deuses do olimpo. " Pô deixa de ser assim, pois como o nosso amigo mesmo falou está aprontando a outra parte. Deixa ele terminar pra depoisfazer tuas conclusões.
Sobre o post está bom, pode ser aprofundado.

[J.Augusto]

Olá.

(...)Caro Augusto nada pessoal,mas porque seus comentarios são sempre em tons desmerecedores(...)

- Impressão sua, eu não desmereço niguém aqui.

(...)Vc está sempre se comportando como se fose um dos deuses do olimpo. " Pô deixa de ser assim(...)

- Não... também é impressão sua... E eu não levo nada aqui para questões pessoais.

(...)Sobre o post está bom, pode ser aprofundado(...)

Faça a sua parte, dê a devida reputação... Pelo menos tentei enriquecer algo com os links...

Vou esperar o restante da parte do Post sobre Log's com esmero.

Ps.: Estou com um número de 349 posts, em sua grande maioria são notícias postadas, como não escrevo as notícias só as deixo com os devidos link's então não há como eu ter imposto tons desmerecedores ok?

[prgmoraes]

Caro Augusto nada pessoal,mas porque seus comentarios são sempre em tons desmerecedores. Vc está sempre se comportando como se fose um dos deuses do olimpo. " Pô deixa de ser assim, pois como o nosso amigo mesmo falou está aprontando a outra parte. Deixa ele terminar pra depoisfazer tuas conclusões.
Sobre o post está bom, pode ser aprofundado.

Também concordo. Isso desestimula a publicação de tópicos. Se não interessou, crie um outro tópico mais "avançado" e faça a sua parte. O que não vale é desmerecer o colega acima, e cá entre nós, o Guia Foca anda meio desatualizado..embora possa ser usado.

Abs. ;)

[Guzpido Krush]

Conforme podemos observar o próprio syslog utiliza esse arquivo para logar as informações de seu inicio

É interessante pensar que a partir deste trecho pode-se abordar brevemente o conceito do que é um daemon, e como daemons padrões do sistema interagem cotidianamente com o syslog.

Os comentários as vezes parecem desmerecedores, é normal no ambiente de um fórum de discussões de internet. Por isso é importante não levar as coisas para o lado pessoal pois muitas vezes o contexto engana.

[Guzpido Krush]

Os daemons de sistema, o kernel, e vários utilitários todos emitem dados que são registrados e eventualmente se amontoam em discos de tamanho finito, em relação a capacidade de armazenamento. A maioria destes dados tem um limite de vida útil e necessitam ser indexados, comprimidos, arquivados e eventualmente jogados fora.

Existem políticas que são planejadas dependendo do intuito do sistema. Estas são as políticas de logging, que variam no que concerne ao modo como os logs são tratados, e eventualmente, jogados fora.

Esquemas comuns incluem:
* Jogar fora todos os dados imediatamente
* Resetar os arquivos de log em intervalos periódicos
* Rotacionar os log, mantendo dados por tempo fixo
* Comprimir e arquivar os logs para fitas, roms, ou outro tipo de mídia permanente.

A escolha correta para o seu site dependerá

* da quantidade de espaco em disco disponível e quanto ciente acerca de questões de seguranca sua política optou.
* Até mesmo sites com quantidades abundantes de espaco em disco para armazenamento lida com o crescimento monstruoso de arquivos de log.

A automatizacao dos esquemas de manutencao de logs é em geral lidada pelo daemon cron.

Este é um pequeno trecho do capítulo onze do "livro-verde" LINUX SYSTEM ADMINISTRATION HANDBOOK. No capítulo nove os autores tratam de Processos Periódicos.

Por Evi Nemeth, Garth Snyder, Tren R. Hein

Nemeth, Seebass, Snyder e Hein foram os autores do UNIX SYSTEM ADMINISTRATION HANDBOOK, o livro vermelho.

Por se tratarem de obras antológicas são ótimas referências disponíveis em diversas bibliotecas e livrarias.

Vamos supor que um arquivo requeira atencao diária do sysadmin, sendo que o que se deseja é arquivar seu conteúdo por três dias (para manter o exemplo curto). O scrip a seguir implementaria tal política de rotacionamento de logs:

Código:

#!/bin/sh
cd /var/log
mv logfile.2 logfile.3
mv logfile.1 logfile.2
mv logfile logfile.1
cat /dev/null > logfile
chmod 600 logfile

Existe um utilitário chamado logrotate muito mais confiável que scripts simples como este.

Os arquivos de log merecem atencao especial acerca dos proprietarios dos arquivos. Muitas questoes de administracao especiais estao relacionadas a isso.

Código:

killall -e -HUP syslogd

equivale a

Código:

kill -HUP 'cat /var/run/syslogd.pid'

e isso é padrão. Notar que ' ' é diferente de ` ' ou "

"
\_/

[Guzpido Krush]

ProgramaFACILITY Níveis | Descricao
-------------------------------------------------------------------------
cron_____cron-------info*********|Daemon agendador de tarefas do sistema
ftpd_____ftp--------debug-crit****|Daemon ftp (wu-ftpd)
imapd____mail------info-alert****|Servidor de correio IMAP
inetd_____daemon---err,warn*****| Internet superdaemon
login_____authpriv---info-err******| Programas de login
lpd_______lpr--------info-err******| Daemon de impressora
named____daemon--info-err******| Servidor de nomes (DNS)
passwd___auth---notice,warning*| Programa de alteracao de senha
popper___local0--debug,notice***| Servidor de correio POP3
sendmail___mail---debug-alert***| Sistema de transporte de correio
shutdown__auth--notice******| Desativa o sistema
su________auth-----notice******| altera UIDs
sudo______local2-----notice,alert***| Sistema su limitado
syslogd____syslog,mark-info-err***| Erros internos, time stamps
tcpd_______local7-------debug-err***| TCP wrapper para o inetd
vmlinuz_____kern-------ALL*******| o KERNEL
xinetd______configuravel--info******| Variante de inetd (Red Hat)

------------------------------------------------------------------------

O comando logger é extremamente útil para debugar o syslog.