Nehany tipp az AIX syslogd beallitasara
Tetszolegesen varialhato minden, az alabbi csak egy javaslat.
Csak letre kell hozni minden logfile-t, mert erre a syslogd nem kepes.
Tul sokat amugy sem lehet vele csinalni:
- loghostra irni
- wall-ozni tetszoleges usereknek
- rotalni meret, idointervallum szerint (rotate ...)
- meghatarozni a megtartando file-ok szamat (files N)
- tomoriteni (compress)
- elmozgatni (archive /path/to/dir)
En a 'forever' logolas hive vagyok. Mindig debug levelt hasznalok, ez is igeny szerint finomithato.
Par het alatt ugyis kiderul, melyik logra nincs szukseg, illetve melyiknek a meretet erdemes jobban korlatozni.
# stopsrc -s syslogd
# mkdir /var/adm/ras/syslog
# chmod 0700 /var/adm/ras/syslog
for type in kern user mail daemon auth syslog lpr news uucp local0 local1 local2 local3 local4 local5 local6 local7; do
touch /var/adm/ras/syslog/$type\.log
echo "$type.debug /var/adm/ras/syslog/$type.log rotate time 1w" >> /etc/syslog.conf
done
# startsrc -s syslogd
A konfigot egyszeru kidumpolni:
# lssrc -ls syslogd
---
Meg ide tartozhat az alabbi is:
# du -sm /etc/security/failedlogin
2.21 /etc/security/failedlogin
Ez egy 'erdekesebb' helyen levo rendszeren hamar tobb 100 MB fole mehet, igy celszeru figyelemmel tartani. En ki szoktam linkelni valahova a /var ala.
Van meg egy finomsag, ami hasznos tud lenni: az AIX errlogot a megfelelo ODM bejegyzessel syslogd-nek is at lehet nyomni.
Tovabbi infok:
man logger
man syslog
man syslogd
/etc/syslog.conf (benne van minden parameter)
/usr/include/sys/syslog.h
Hozzászólások
Ööö... nem kötekedésből, mert egyáltalán nem vagyok aix guru, de az errpt (errdemon) mellett van sok értelme a syslognak? Már ha az alkalmazás(ok) nem csak oda hajlandók logolni.
Az errdemon by default csak a 'kernelszintu' esemenyeket rogziti (driverek uzenetei, coredump, FS full, reboot...). Ld. 'errpt -t'.
Hát ezaz. Amit az OS-ről tudni kell(*), az benne van az errpt-ben. Az alkalmazások amik a gépen futnak, logoljanak saját könyvtárba/fájlba, pláne ha nem egy fut a gépen, hanem mondjuk 4-5-20.
*) erre lennék kíváncsi, hogy mi az, amit az os-ről tudni kell, de még sincs benne az errpt-ben. Esetleg a sendmail. A hacmp-nek, csm-nek saját logjai vannak, ha jól emlékszem. Nekem az aix egyáltalán nem tűnt syslogbarátnak, minden vacka logol mindenfelé. De lehet h csak azért volt így, mert gyárilag rettentő spártai a syslog beállítása.
PL:
# HACMP/ES for AIX Critical Messages
local0.crit /dev/console
# HACMP/ES for AIX Informational Messages
local0.info /usr/es/adm/cluster.log
# HACMP/ES for AIX Messages from Cluster Scripts
user.notice /usr/es/adm/cluster.log
# HACMP/ES for AIX Messages from Cluster Daemons
daemon.notice /usr/es/adm/cluster.log
+1 sshd -t is syslogba szokás loggolni
Köszi!
mail log tipikusan olyan amit csak sysloggal tudsz logolni, és egy relay server esetén eléggé szükséges cucc is. Illetve nekem nem 1x segített már, hogy az errpt-s bejegyzés bekerül a syslogba is, ám vmi nagyobb hiba esetén ( mondjuk egy DASD hiba esetén ) az errpt-t úgy teleszórja a hibákkal az AIX? hogy gyorsan rotálnia is kell.. Na ilyen esetben pl a syslog logja kifejezetten hasznos, mert az csak bizonyos időközönként rotálódik, nem bizonyos méret után..
Plusz ha van TEC-ed a gépen az is sajna a syslogot használja.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
Áh, a TEC-re szerencsére volt más ember :D
> *) erre lennék kíváncsi, hogy mi az, amit az os-ről tudni kell, de még sincs benne az errpt-ben.
su
sudo
sshd
sendmail
xntpd
snmpd
secldapclntd
syslog
ftp
RMC
nfs
...just to name a few
> Nekem az aix egyáltalán nem tűnt syslogbarátnak
Erre nem tudok mit mondani, be kell allitani.
Áh.. mégis kéne egy aix otthonra :D
Igen, nem vagy nagy aix guru :)
Talán nem számít topikrombolásnak, he itt kérek tanácsot/magyarázatot az alábbi érdekes jelenség ügyében:
Valamelyik gépünkön (oslevel -r = 6100-06) a syslog-ot használtuk naplózásra (local0 facility), és megkértük, hogy rotálja naponta (rotate time 1d):
local0.debug /var/log/naplo/naplo.log rotate time 1d
Ez működni is látszott; a fájlok, amiket rotált, naplo.log.(sorszám) néven keletkeztek, mígnem egyszer valami megváltozott, és a fájlok naplo.log.(dátum(8)) néven születtek, ahol a dátum az a holnapi dátum.
Két dologra tudok gondolni, mit/miért tett a syslogd:
1. már túl sok lezárt fájl volt, és megunta a sorszámozós módszert.
2. látta, hogy vannak a könyvtárban más naplo.log.(dátum(8)) alakú fájlok (kézileg csináltuk), hát ő is áttért erre a névformára.
De miért a holnapi dátum?!
Hat esetleg a syslogd process env lehet erdekes... meg a syslogd sajat syslog bejegyzesei a valtozas ota. Volt ujrainditva a syslogd?
Az ilyenekre nyugodtan lehet SR-t (PMR-t) nyitni az IBM-nel...
Ha nyitsz rá PMR-t, akkor privátban küld már el a számát pls :)))
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
Köszi, ezek jó gondolatok; referálok, ha jutok valamire (gyorsan beleraktam a syslog.conf-ba, hogy *.info /var/log/info.log rotate size 1m compress files 4)
Most éppen az van a local0-nál, hogy naplo.syslog nevű fájlt hozzon létre, így nincs ütközés a meglévő naplo.log.* fájlokkal; és amikor cserélt, szépen átnevezte naplo.syslog.0-ra (truss-szal lestem)...
Most hallottam a (szinte biztosan) jó megfejtést: szó sincs dátumról, az ottan a név végén egyszerűen egy sorszám, legalábbis a syslogd számára: veszi a meglévő legnagyobb sorszámot (ami történetesen 20110914 volt szerdán), ahhoz hozzáad egyet, és azt hozza létre...
Megjegyzés: Egy másik gépen (oslevel -r = 5200-09) is hasonlóan syslog-olunk, de ott a beállítások/verziók különbsége miatt a syslog által lecserélt fájlok nevében dátum+idő is van, ezért nincs ütközés pl:
naplo.log.2010Dec01:00:31:14