Product SiteDocumentation Site

9.5. syslog Systemhändelser

9.5.1. Princip och mekanism

rsyslogd-demonen är ansvarig för att samla in tjänstemeddelanden från program och kärnan, och sedan vidarebeforda dem till loggfiler (vanligen lagrad i katalogen /var/log/). Den följer konfigurationsfilen /etc/rsyslog.conf.
Varje loggmeddelande är associerart med ett programsubsystem (kallad ”facillity” i dokumentationen):
  • auth och authpriv: för autentisering;
  • cron: kommer från schemaläggartjänster, cron och atd;
  • daemon: påverkar en demon utan speciell klassifikation ( DNS, NTP och så vidare);
  • ftp:gäller FTP-servern;
  • kern: meddelanden från kärnan;
  • lpr: kommer från underliggande utskriftssystem;
  • mail: kommer från undersystemet för e-post;
  • news: Meddelanden från Usenet (speciellt från NNTP — Network News Transfer Protocol — server som hanterar nyhetsgrupper);
  • syslog: meddelanden från själva syslogd-servern;
  • user: användarmeddelanden (generiska);
  • uucp: meddelanden från UUCP-servern (Unix to Unix Copy Program, ett gammalt protokoll använt för att distribuera e-postmeddelanden);
  • local0 till local7: reserverad för lokal användning.
Varje meddelande är också associerad med en prioritetsnivå. Här är listan i sjunkande ordning:
  • emerg: “Hjälp!” Det är akut, systemet är förmodligen instabilt.
  • alert: skynda på, det kan vara farligt att vänta, utför något så fort du kan;
  • crit: villkoren är kritiska;
  • err: fel;
  • warn: varning (potentiellt fel);
  • notice: allt normalt, men meddelandet är viktigt;
  • info: informativt meddelande;
  • debug: meddelande för felsökning.

9.5.2. Konfigurationsfilen

The syntax of the /etc/rsyslog.conf file is detailed in the rsyslog.conf(5) manual page, but there is also HTML documentation available in the rsyslog-doc package (/usr/share/doc/rsyslog-doc/html/index.html). The overall principle is to write “selector” and “action” pairs. The selector defines all relevant messages, and the action describes how to deal with them.

9.5.2.1. Syntaxen för väljaren

Väljaren är en semikolonseparerad lista av subsystem.priority-pard (exempel: auth.notice;mail.info). En asterisk kan representera att subsystem eller alla proriteter (exempel: *.alert eller mail.*). Flera subsystem kan grupperas genom att separera dem med ett komma (exempel: auth,mail.info). Indikerade prioritet täcker också meddelanden av högre eller lika prioritet; sålunda indikerar auth.alert auth subsystemmeddelanden för prioriteterna alert eller emerg. Prefixad med ett utropstecken (!) indikerare det de motsatta, lägre prioriteter; auth.!notice,indikerar exempelvis auth, med prioritet info eller debug. Prefix med lika med-tecken (=) motsvara precis indikerad prioritet (auth.=notice bryr sig bara om meddelanden från auth med prioritet notice).
Varje element i väljarens lista åsidosätter tidigare element. Det är därför möjligt att begränsa en mängd eller att exkludera vissa element från den. Exempelvis betyder kern.info;kern.!err meddelanden från kärnan med prioritet info och warn. Prioriteten none indikerar den tomma mängden (inga prioriteter), och kan tjäna till att exkludera ett subsystem från en meddelandemängd. Sålpnda indikerar *.crit;kern.none alla meddelanden av prioritet lika eller högre än crit som inte kommer från kärnan.

9.5.2.2. Åtgärdssyntax

Möjliga åtgärder är:
  • lägg till meddelandet till en fil (exempel: /var/log/messages);
  • skicka meddelandet till en fjärrserver syslog (exempelvis: @log.falcot.com);
  • skicka meddelandet till ett befintligt namngivet rör (exempel: |/dev/xconsole);
  • skicka meddelandet till en eller flera användare om de är inloggade (exempel: root,rhertzog);
  • skicka meddelandet till alla inloggade användare (exempel: *);
  • skriv meddelandet i en textkonsol (exempel: : /dev/tty8).