AIX syslog

Fórumok

Nehany tipp az AIX syslogd beallitasara

Tetszolegesen varialhato minden, az alabbi csak egy javaslat.
Csak letre kell hozni minden logfile-t, mert erre a syslogd nem kepes.
Tul sokat amugy sem lehet vele csinalni:
- loghostra irni
- wall-ozni tetszoleges usereknek
- rotalni meret, idointervallum szerint (rotate ...)
- meghatarozni a megtartando file-ok szamat (files N)
- tomoriteni (compress)
- elmozgatni (archive /path/to/dir)

En a 'forever' logolas hive vagyok. Mindig debug levelt hasznalok, ez is igeny szerint finomithato.
Par het alatt ugyis kiderul, melyik logra nincs szukseg, illetve melyiknek a meretet erdemes jobban korlatozni.


# stopsrc -s syslogd
# mkdir /var/adm/ras/syslog
# chmod 0700 /var/adm/ras/syslog

for type in kern user mail daemon auth syslog lpr news uucp local0 local1 local2 local3 local4 local5 local6 local7; do
        touch /var/adm/ras/syslog/$type\.log
        echo "$type.debug /var/adm/ras/syslog/$type.log rotate time 1w" >> /etc/syslog.conf
        done

# startsrc -s syslogd

A konfigot egyszeru kidumpolni:


# lssrc -ls syslogd

---

Meg ide tartozhat az alabbi is:


# du -sm /etc/security/failedlogin
2.21    /etc/security/failedlogin

Ez egy 'erdekesebb' helyen levo rendszeren hamar tobb 100 MB fole mehet, igy celszeru figyelemmel tartani. En ki szoktam linkelni valahova a /var ala.

Van meg egy finomsag, ami hasznos tud lenni: az AIX errlogot a megfelelo ODM bejegyzessel syslogd-nek is at lehet nyomni.

Tovabbi infok:

man logger
man syslog
man syslogd
/etc/syslog.conf (benne van minden parameter)
/usr/include/sys/syslog.h

Hozzászólások

Ööö... nem kötekedésből, mert egyáltalán nem vagyok aix guru, de az errpt (errdemon) mellett van sok értelme a syslognak? Már ha az alkalmazás(ok) nem csak oda hajlandók logolni.

Hát ezaz. Amit az OS-ről tudni kell(*), az benne van az errpt-ben. Az alkalmazások amik a gépen futnak, logoljanak saját könyvtárba/fájlba, pláne ha nem egy fut a gépen, hanem mondjuk 4-5-20.

*) erre lennék kíváncsi, hogy mi az, amit az os-ről tudni kell, de még sincs benne az errpt-ben. Esetleg a sendmail. A hacmp-nek, csm-nek saját logjai vannak, ha jól emlékszem. Nekem az aix egyáltalán nem tűnt syslogbarátnak, minden vacka logol mindenfelé. De lehet h csak azért volt így, mert gyárilag rettentő spártai a syslog beállítása.

PL:
# HACMP/ES for AIX Critical Messages
local0.crit /dev/console
# HACMP/ES for AIX Informational Messages
local0.info /usr/es/adm/cluster.log
# HACMP/ES for AIX Messages from Cluster Scripts
user.notice /usr/es/adm/cluster.log
# HACMP/ES for AIX Messages from Cluster Daemons
daemon.notice /usr/es/adm/cluster.log

mail log tipikusan olyan amit csak sysloggal tudsz logolni, és egy relay server esetén eléggé szükséges cucc is. Illetve nekem nem 1x segített már, hogy az errpt-s bejegyzés bekerül a syslogba is, ám vmi nagyobb hiba esetén ( mondjuk egy DASD hiba esetén ) az errpt-t úgy teleszórja a hibákkal az AIX? hogy gyorsan rotálnia is kell.. Na ilyen esetben pl a syslog logja kifejezetten hasznos, mert az csak bizonyos időközönként rotálódik, nem bizonyos méret után..
Plusz ha van TEC-ed a gépen az is sajna a syslogot használja.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

> *) erre lennék kíváncsi, hogy mi az, amit az os-ről tudni kell, de még sincs benne az errpt-ben.

su
sudo
sshd
sendmail
xntpd
snmpd
secldapclntd
syslog
ftp
RMC
nfs

...just to name a few

> Nekem az aix egyáltalán nem tűnt syslogbarátnak

Erre nem tudok mit mondani, be kell allitani.

Talán nem számít topikrombolásnak, he itt kérek tanácsot/magyarázatot az alábbi érdekes jelenség ügyében:

Valamelyik gépünkön (oslevel -r = 6100-06) a syslog-ot használtuk naplózásra (local0 facility), és megkértük, hogy rotálja naponta (rotate time 1d):

local0.debug /var/log/naplo/naplo.log rotate time 1d

Ez működni is látszott; a fájlok, amiket rotált, naplo.log.(sorszám) néven keletkeztek, mígnem egyszer valami megváltozott, és a fájlok naplo.log.(dátum(8)) néven születtek, ahol a dátum az a holnapi dátum.

Két dologra tudok gondolni, mit/miért tett a syslogd:
1. már túl sok lezárt fájl volt, és megunta a sorszámozós módszert.
2. látta, hogy vannak a könyvtárban más naplo.log.(dátum(8)) alakú fájlok (kézileg csináltuk), hát ő is áttért erre a névformára.
De miért a holnapi dátum?!

Köszi, ezek jó gondolatok; referálok, ha jutok valamire (gyorsan beleraktam a syslog.conf-ba, hogy *.info /var/log/info.log rotate size 1m compress files 4)

Most éppen az van a local0-nál, hogy naplo.syslog nevű fájlt hozzon létre, így nincs ütközés a meglévő naplo.log.* fájlokkal; és amikor cserélt, szépen átnevezte naplo.syslog.0-ra (truss-szal lestem)...

Most hallottam a (szinte biztosan) jó megfejtést: szó sincs dátumról, az ottan a név végén egyszerűen egy sorszám, legalábbis a syslogd számára: veszi a meglévő legnagyobb sorszámot (ami történetesen 20110914 volt szerdán), ahhoz hozzáad egyet, és azt hozza létre...

Megjegyzés: Egy másik gépen (oslevel -r = 5200-09) is hasonlóan syslog-olunk, de ott a beállítások/verziók különbsége miatt a syslog által lecserélt fájlok nevében dátum+idő is van, ezért nincs ütközés pl:

naplo.log.2010Dec01:00:31:14