Syslog er en standardprotokoll for logging av systemhendelser og meldinger. Den lar applikasjoner og prosesser sende loggmeldinger til en sentral server, hvor de kan lagres, filtreres, analyseres og videresendes til andre destinasjoner. Syslog er mye brukt i Linux-og Unix-systemer for overvåkings-og feilsøkingsformål.
En av de vanlige bruksområdene for syslog er å samle inn og lagre e-postrelatert logginformasjon, for eksempel status for innkommende og utgående meldinger , feil, advarsler og statistikk. E-postrelatert logginformasjon kan genereres av ulike komponenter i e-postsystemet, som sendmail, postfix, exim, dovecot, spamassassin osv.
Hvordan fungerer syslog?
Syslog fungerer ved å bruke en klient-server-modell. Klienten er applikasjonen eller prosessen som genererer loggmeldingene og sender dem til syslog-serveren. Serveren er programmet som mottar loggmeldingene og behandler dem i henhold til en konfigurasjonsfil. Konfigurasjonsfilen definerer reglene for filtrering, formatering og videresending av loggmeldinger til forskjellige destinasjoner, for eksempel filer, databaser, eksterne servere eller e-postadresser.
Syslog-protokollen bruker et standardformat for loggmeldingene, som består av tre deler: prioritet, innretning og melding. Prioriteten angir alvorlighetsgraden til meldingen, fra 0 (nød) til 7 (feilsøking). Innretningen angir kilden eller kategorien til meldingen, for eksempel e-post, auth, kern, bruker osv. Meldingen er den faktiske teksten til loggoppføringen.
For eksempel kan en typisk syslog-melding se ut slik:
`<14>30. oktober 16:13:49 postserver postfix/smtp[1234]: 1234567890: to=
Denne meldingen har en prioritet på 14 (merknad ), en e-postfunksjon (e-postrelatert), og en melding som inneholder tidsstempel, vertsnavn, programnavn, prosess-ID, kø-ID, mottakeradresse, relévert, forsinkelsestider, varslingskode for leveringsstatus, statustekst og svartekst.
Hvordan konfigurere syslog for å lagre e-postrelatert logginformasjon?
Konfigurasjonen av syslog avhenger av implementeringen av syslog-serverprogrammet. Det finnes flere varianter av syslog-servere tilgjengelig for Linux-og Unix-systemer, for eksempel syslogd (det originale og mest grunnleggende), rsyslog (standard i de fleste moderne distribusjoner), syslog-ng (et mer avansert og fleksibelt alternativ), etc.
Hver syslog-server har sitt eget konfigurasjonsfilformat og syntaks, men de deler alle noen vanlige konsepter og prinsipper. Konfigurasjonsfilen består vanligvis av regler som samsvarer med visse kriterier (som prioritet eller fasiliteter) med visse handlinger (som skriving til en fil eller sending til en ekstern server). Reglene blir evaluert fra topp til bunn til et samsvar er funnet eller slutten av filen er nådd.
En av de vanligste handlingene er å skrive loggmeldingene til en ren tekstfil i en spesifisert katalog. Etter konvensjon er denne katalogen/var/log/, der forskjellige loggfiler er lagret for forskjellige formål og programmer. For eksempel
–/var/log/messages: inneholder generelle systemmeldinger
–/var/log/auth.log: inneholder autentiserings-og autorisasjonsmeldinger
–/var/log/kern.log: inneholder kjernemeldinger
–/var/log/cron.log: inneholder cron-jobbmeldinger
–/var/log/mail. logg: inneholder e-postrelaterte meldinger
Den siste er svaret på spørsmålet vårt: syslog er generelt konfigurert til å legge all e-postrelatert logginformasjon i/var/log/mail.log-filen.
Dette er imidlertid ikke en fast regel eller standard. Avhengig av konfigurasjonen av syslog-serveren og preferansene til systemadministratoren eller brukeren, kan e-postrelatert logginformasjon lagres i forskjellige filer eller steder. For eksempel
– Noen syslog-servere tillater bruk av jokertegn eller regulære uttrykk for å matche flere fasiliteter eller prioriteter med én handling. For eksempel,
`mail.*/var/log/mail.log`
Denne regelen betyr at enhver melding med en funksjon for post (uavhengig av prioritet) vil bli skrevet til/var/log/mail.log-fil.
– Noen syslog-servere tillater bruk av maler eller makroer for å tilpasse formatet eller navnet på loggfilene. For eksempel,
`mail.*/var/log/mail/$ {programname}.log`
Denne regelen betyr at enhver melding med en funksjon for e-post vil bli skrevet til en fil oppkalt etter programnavnet (som postfix.log eller exim.log) i/var/log/mail/-katalogen.
– Noen syslog-servere tillater bruk av filtre eller uttrykk for å velge eller ekskludere visse meldinger basert på deres innhold eller attributter. For eksempel,
`mail.*;mail.info ~`
Denne regelen betyr at alle meldinger med e-postfunksjon, bortsett fra de med prioritet informasjon, vil bli forkastet og ikke skrevet til noen fil.
Hvordan sjekker jeg den e-postrelaterte logginformasjonen?
Når syslog-serveren er konfigurert til å lagre den e-postrelaterte logginformasjonen i en fil eller filer, er neste trinn å sjekke innholdet og analysere dataene. Det er flere måter å gjøre dette på, for eksempel:
– Bruke et tekstredigeringsprogram eller visningsprogram for å åpne og lese loggfilen. For eksempel,
`nano/var/log/mail.log`
Denne kommandoen åpner filen/var/log/mail.log i nano-redigeringsprogrammet, hvor du kan bla , søk, rediger eller lagre filen.
– Bruke et kommandolinjeverktøy eller verktøy for å filtrere, sortere eller behandle loggfilen. For eksempel,
`tail-f/var/log/mail.log`
Denne kommandoen vil vise de siste 10 linjene i filen/var/log/mail.log og beholde oppdateres etter hvert som nye meldinger kommer.
`grep”error”/var/log/mail.log`
Denne kommandoen viser bare linjene som inneholder ordet”error”i/var/log/mail.log-fil.
`awk'{print $6}’/var/log/mail.log | sortere | uniq-c`
Denne kommandoen vil vise antall forekomster av hvert programnavn i filen/var/log/mail.log.
– Bruke et grafisk verktøy eller applikasjon for å visualisere , overvåke eller administrere loggfilen. For eksempel
Logwatch: et tilpassbart logganalysesystem som genererer rapporter basert på loggfilene.
LogAnalyzer: et nettbasert grensesnitt som tillater surfing, søk, filtrering og analyse loggfilene.
Splunk: en kraftig plattform som samler inn, indekserer, analyserer og visualiserer alle typer maskindata, inkludert syslogdata.
Konklusjon
I denne artikkelen har vi lært hva syslog er, hvordan den fungerer, hvordan du konfigurerer den til å lagre e-postrelatert logginformasjon i en fil, og hvordan du sjekker og analyserer logginformasjonen. Vi har også sett noen eksempler på forskjellige syslog-servere og verktøy som kan brukes til dette formålet. Vi håper denne artikkelen har vært nyttig og informativ for deg. Takk for at du leser!
