LOG e SYSLOG

Precedente
Programma
Seguente
Bastard Operator From Hell!
ls -l /var/log/
  Lista dei log
less /var/log/messages
  visualizza il log messages
Tips & Tricks

Per loggare su un syslog server Linux i log di un Cisco si deve:
CIsco:
Configurare lo IOS per definire il syslog server:
logging server 10.0.0.20
logging facility local2
logging trap 7 (opzionale, imposta il logging a livello 7: debug)
Linux:
Fare partire syslog con l'opzione di logging via rete:
syslogd -r
Configurare /etc/syslog.conf per accettare i messaggi dal cisco (facility local2):
local2.* /var/log/cisco.log
La porta usata per il syslog via rete è la 514 UDP.

Syslog presenta alcune lacune in termini di sicurezza, in particolare se viene usato via rete: i dati passano in chiaro e possono essere spoofati e manipolati.
Un'alternativa più recente e sicura è syslog-ng
log, dove e perchè
Molto spesso ci si ritrova a diagnosticare problemi, capire perchè una applicazione non parte o eseguire compiti di reverse engineering sul funzionamento di parti del sistema.
La prima fonte da consultare per ogni operazione di troubleshooting sono i log di sistema, semplici file che tengono traccia di errori e particolari azioni eseguite dal sistema, come il cambiamento di una password, il login di un certo utente o il messaggio di errore di una applicazione.
I log di sistema hanno generalmente una locazione ben definita: /var/log dove possono coesistere diversi log.
Syslog

In tutti i sistemi Unix il demone syslogd si occupa di gestire i diversi log di sistema tramite il file di configurazione /etc/syslog.conf.
Le recenti distribuzioni Linux utilizzano sysklogd, una versione evoluta di syslogd che gestisce anche il logging del kernel (tramite il demone klogd).

Il file /etc/syslogd.conf ha una sintassi semplice, indicando per ogni riga una attività di logging:
facility.loglevel /var/log/file.log
La facility può essere auth, auth-priv, cron, daemon, kern, local0-7, lpr, mail, news, user, syslog, uucp...
Il loglevel indica il livello di criticità del messaggio: debug, info, notice, warning, error, crit, alert, emerg.
E' inoltre possibile usare wildmask (*), negazioni (!) e uguaglianza (=).

 
Configurazione base di syslog.conf
Qualunque messaggio eccetto mail *.info;mail.none /var/log/messages
Messaggi riguardanti login o a particolari servizi authpriv.* /var/log/secure
Qualunque messaggio riguardante le mail mail.* /var/log/mailog
Log del crontab cron.* /var/log/cron
WEB RESOURCES
http://www.balabit.hu/en/downloads/syslog-ng/ Home Page di Syslog-ng versione evoluta di Syslog.
http://www.cplsystems.net/syslog.htm Syslog: The UNIX System Logger - Info dettagliate.