Product SiteDocumentation Site

9.5. syslog Systemhändelser

9.5.1. Princip och mekanism

rsyslogd-demonen är ansvarig för att samla in tjänstemeddelanden från program och kärnan, och sedan vidarebeforda dem till loggfiler (vanligen lagrad i katalogen /var/log/). Den följer konfigurationsfilen /etc/rsyslog.conf.
Varje loggmeddelande är associerart med ett programsubsystem (kallad ”facillity” i dokumentationen):
  • auth och authpriv: för autentisering;
  • cron: kommer från schemaläggartjänster, cron och atd;
  • daemon: påverkar en demon utan speciell klassifikation ( DNS, NTP och så vidare);
  • ftp:gäller FTP-servern;
  • kern: meddelanden från kärnan;
  • lpr: kommer från underliggande utskriftssystem;
  • mail: kommer från undersystemet för e-post;
  • news: Meddelanden från Usenet (speciellt från NNTP — Network News Transfer Protocol — server som hanterar nyhetsgrupper);
  • syslog: meddelanden från själva syslogd-servern;
  • user: användarmeddelanden (generiska);
  • uucp: meddelanden från UUCP-servern (Unix to Unix Copy Program, ett gammalt protokoll använt för att distribuera e-postmeddelanden);
  • local0 till local7: reserverad för lokal användning.
Varje meddelande är också associerad med en prioritetsnivå. Här är listan i sjunkande ordning:
  • emerg: “Hjälp!” Det är akut, systemet är förmodligen instabilt.
  • alert: skynda på, det kan vara farligt att vänta, utför något så fort du kan;
  • crit: villkoren är kritiska;
  • err: fel;
  • warn: varning (potentiellt fel);
  • notice: allt normalt, men meddelandet är viktigt;
  • info: informativt meddelande;
  • debug: meddelande för felsökning.

9.5.2. Konfigurationsfilen

Syntaxen för filen /etc/rsyslog.conf finns beskriven i detalj i manualsidan för rsyslog.conf(5) men det finns också HTML-dokumentation tillgänglig i paketet rsyslog-doc (/usr/share/doc/rsyslog-doc/html/index.html). Den allmänna principen är att skriva “selector” och “action”-par. Väljaren definierar alla relevanta meddelanden och åtgärderna beskriver hur de ska hanteras.

9.5.2.1. Syntaxen för väljaren

Väljaren är en semikolonseparerad lista av subsystem.priority-pard (exempel: auth.notice;mail.info). En asterisk kan representera att subsystem eller alla proriteter (exempel: *.alert eller mail.*). Flera subsystem kan grupperas genom att separera dem med ett komma (exempel: auth,mail.info). Indikerade prioritet täcker också meddelanden av högre eller lika prioritet; sålunda indikerar auth.alert auth subsystemmeddelanden för prioriteterna alert eller emerg. Prefixad med ett utropstecken (!) indikerare det de motsatta, lägre prioriteter; auth.!notice,indikerar exempelvis auth, med prioritet info eller debug. Prefix med lika med-tecken (=) motsvara precis indikerad prioritet (auth.=notice bryr sig bara om meddelanden från auth med prioritet notice).
Varje element i väljarens lista åsidosätter tidigare element. Det är därför möjligt att begränsa en mängd eller att exkludera vissa element från den. Exempelvis betyder kern.info;kern.!err meddelanden från kärnan med prioritet info och warn. Prioriteten none indikerar den tomma mängden (inga prioriteter), och kan tjäna till att exkludera ett subsystem från en meddelandemängd. Sålpnda indikerar *.crit;kern.none alla meddelanden av prioritet lika eller högre än crit som inte kommer från kärnan.

9.5.2.2. Åtgärdssyntax

Möjliga åtgärder är:
  • lägg till meddelandet till en fil (exempel: /var/log/messages);
  • skicka meddelandet till en fjärrserver syslog (exempelvis: @log.falcot.com);
  • skicka meddelandet till ett befintligt namngivet rör (exempel: |/dev/xconsole);
  • skicka meddelandet till en eller flera användare om de är inloggade (exempel: root,rhertzog);
  • skicka meddelandet till alla inloggade användare (exempel: *);
  • skriv meddelandet i en textkonsol (exempel: : /dev/tty8).