ログの種類と書式について

ログの種類と書式について
トラブル発生時にログから情報を取得する手助けになるのは
ログファイルの種類
ログの書式変更
ログファイルから有用なログをみつけるポイント
これらを把握していることがより効率的な原因究明につながる
まず、ログファイルの種類
linux では、ログは
/var/log の下に出力される
Ubuntu なら
/var/log/
の下にたくさんあるので
ls /var/log/
で調べると、どんなファイルがあるのか確認できる
種類がたくさんあるので、その中の一部を紹介すると
syslog
システムの動作状態に関するログ
dmesg
カーネルのメッセージバッファのログ
OS起動時、動作時のカーネルメッセージが出力される
auth.log
認証関係のログ
boot.log
OS起動時のサービスメッセージのログ
dpkg.log
パッケージマネジャーの dpkg のログ
apt
パッケージ管理ツールのAPT のログが出力されるディレクトリ
wtmp
ユーザのログイン履歴ログ
who コマンドを使って開く
lastlog
ユーザが最後にログインした日時のログ
lastlogコマンドで確認
この中で、トラブル遭遇時に確認することが多いのが
syslog
ログを確認する時に注意することは
書き込み権限のあるユーザの場合なら
viewコマンド
http://www.linuxlic.com/command/view.html
とか
tail
less
などのコマンドを使い、読み込み専用で開くこと
これは、間違えてログの変更や削除をしてしまわないため
今回は
view コマンドで 認証関連ログファイル auth.log をみる
view /var/log/auth.log
で内容を確認
このときに出てくる書式が
ログ管理デーモンになるrsyslog の
RSYSLOG_TraditionalFileFormat
という書式
これは、
/etc/syslog.conf で
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
と定義されている
syslog 形式のログは
TIMESTAMP
HOSTNAME
といった、いくつかのプロパティから構成される
例えば view /var/log/auth.log
で見てみると
Jul 21 10:17:01 snowpool-Prime-Series CRON[5106]: pam_unix(cron:session): session closed for user root
というログがあり
Jul 21 10:17:01
の部分がTIMESTAMPで
ログが出力された日時
snowpool-Prime-Series

HOSTNAMEで、ホスト名
CRON[5106]:

syslogtag で、ログメッセージの出力元
プログラム名の表示
今回なら、
プロセスID 5106 の cronデーモンがログを出力している
pam_unix(cron:session): session closed for user root
はmsg で、ログの内容になる

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です