Debian ログ/syslog について

システムのさまざまな動作を記録するログ。
その基本について調べてみた。


システム環境

OS   Debian8
ログシステム   rsyslog
記録場所   /var/log/
設定ファイル   /etc/rsyslog.conf
ローテーション   /etc/logtotate.conf (概要)
  /etc/logrotate.d(詳細)
監視ツール   $ tail -f (-F) /var/log/*.log
  Swatch

syslog.confの書式

< 書 式 >

    
selector      スペース      action
  (取得ログの指定)                      (そのログの出力先ファイル)
        ||   
        *selecter内の構文(facility.priority)
        ||   
    
facility           .          priority
    ファシリティ       ピリオド      プリオリティ
    (ログの分類)                    (ログのレベル)
        ||                               ||
・auth  認証       ・bebug  デバックレベル      


重要度



  
・authpriv  認証       ・info  お知らせ
・cron  cron ・notice  正常だが注意
・daemon  デーモン ・warn  警告
・kern  カーネル ・err  エラー状態
・lpr  プリンタ ・crit  重大エラー
・mail  メール ・alert  緊急処置必要
・news  ニュース ・emesg  クラッシュ寸前
・syslog  システム
・user  ユーザープロセス
・uucp  uucp転送
・local0~7  任意プログラム

*facilityのパラメーター複数指定の時はカンマ区切りで auth,kern,mail
*selectorを複数指定の時は、;(セミコロン)で facility.priority;facility.priority
*e.g.
   kern.info  カーネルのinfoメッセージ以上を出力
   kern.=info  カーネルのinfoメッセージを出力
   kern.!info  カーネルのinfoメッセージ以下を出力
   kern.!=info  カーネルのinfoメッセージ以外を出力
   kern.*  カーネルの全てのメッセージを出力
   kern.none  カーネルのメッセージを出力しない
   *.=info  全てののinfoメッセージを出力
   kern,cron.info  カーネルとcronのinfoメッセージ以上を出力
   kern.info;mail.err  カーネルinfoとメールerrメッセージ以上を出力


   action     ・selectorで指定したログをどこに出力するかを指定
   e.g.
       /var/log/messages
       /var/log/syslog

 ・コンソールに出力:/dev/console

ログを調べてみる=テストの例=

・iptablesログを/var/log/iptables.logに出力する
  $ sudo touch /var/log/iptables.log
  $ sudo vi /etc/rsyslog.conf で追記
  kern.=info /var/log/iptables.log

 ・Log設定の反映・再起動
  $ sudo systemctl restart rsyslog.service

・iptablesのルール
  PC:192.168.1.10からのping受信をログ(level:info 接頭辞:icmp)に記録する
  # iptables -A INPUT -s 192.168.1.10 -p icmp --icmp-type echo-request \
    -j LOG --log-level info --log-prefix "icmp : "

 ・iptables.logでping受信状況を調べる
  $ tail -f /var/log/iptables.log | grep icmp


Copyright(C) green-pen miyagi