Conhecendo mais sobre LOGs

Publicado por Ricardo Vasconcellos em 13/02/2010

[ Hits: 13.992 ]

Blog: http://www.vivaolinux.com.br/~qxada07

 


Conhecendo mais sobre LOGs



Gostaria de falar um pouco sobre arquivos de logs, pois muitos iniciantes e até mesmo alguns experts em Linux falham na hora de saber onde localizar determinado tipo de log.

Os principais arquivos de logs ficam localizados em /var/log/.

Abaixo iremos conhecer um pouco mais sobre sobre os arquivos de logs.
  • messages e syslog: registram todas as mensagens de erro, alertas, autenticação, acesso etc. Em syslog também são gravadas as informações sobre kernel.
  • dmesg: fornece dados do hardware durante processo de boot. O resultado deve ser igual ao comando "dmesg".
  • boot.log: todas as mensagens de sistema durante o processo de boot são escritas neste arquivo.
  • auth.log: registra todos os dados de autenticação.
  • sudo.log: registra todos os acessos privilegiados pela utilização do comando "sudo". Registra qual usuário executou o comando, em qual host, terminal, caminho, comando executado e qual era o usuário no momento da execução.

IMPORTANTE: Quando o servidor for invadido, os primeiros arquivos "zerados" serão:
  • /var/log/messages
  • /var/log/syslog
  • /var/log/lastlog
  • /var/log/wtmp
  • ~/.bash_history

Para quem não sabe o .bash_history grava todos os comandos digitados.

Daemon Syslogd

O Daemon Syslogd é responsável pela escrita de logs nos arquivos, o mesmo permite personalizar diferentes logs no sistema, como direcionar uma saída de log para um host remoto, exibir uma saída de log a um terminal específico etc.

O syslogd pode ser configurado através do arquivo /etc/syslog.conf utilizando a sintaxe "facility.priority".
  • facility: informaremos o responsável pela produção das mensagens. Ex.: kern, mail, news, security, authpriv, user etc.
  • priority: define qual será o nível de detalhamento das mensagens enviadas por facility. Ex.: debug, info, notice, warning, error, crit, alert, emerg, panic.

Vamos configurar o syslogd para mandar todas as mensagens de priority alert e warning para o terminal virtual tty 12:

*.alert		-/dev/tty12
*.warning	-/dev/tty12

Agora iremos direcionar a saída de log para um host remoto, no nosso caso iremos encaminhar para o host chamado "security". Para isso devemos configurar o DNS ou o /etc/hosts para que o firewall conheça este host.

*.alert		@security
*.warning	@security

Para finalizarmos a configuração acima devemos abrir a porta UDP 514 e iniciar o syslog do host remoto incluindo a opção "-r" no final do comando. Ex.:

# /usr/sbin/syslogd -r

Obs.: Somente lembrando que após realizarmos qualquer alteração no syslog devemos reiniciar o mesmo.

Espero ter ajudado.

Outras dicas deste autor

Instalando Kernel 2.6.39.2 no Slackware 12

Aumentando a segurança do seu servidor SSH

Restringindo conexão brute force com iptables

PHP4 + HTTPD2

Recuperando / Protegendo senha de ROOT no Slackware

Leitura recomendada

Como atualizar kernel para 2.6.25

Adicionando o sudo para usuários no Debian Wheezy

Instalando o Samba

Usando o Return Query

The Chakra Project

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts