Gostaria de falar um pouco sobre arquivos de logs, pois muitos iniciantes e até mesmo alguns experts em
Linux falham na hora de saber onde localizar determinado tipo de log.
Os principais arquivos de logs ficam localizados em /var/log/.
Abaixo iremos conhecer um pouco mais sobre sobre os arquivos de logs.
- messages e syslog: registram todas as mensagens de erro, alertas, autenticação, acesso etc. Em syslog também são gravadas as informações sobre kernel.
- dmesg: fornece dados do hardware durante processo de boot. O resultado deve ser igual ao comando "dmesg".
- boot.log: todas as mensagens de sistema durante o processo de boot são escritas neste arquivo.
- auth.log: registra todos os dados de autenticação.
- sudo.log: registra todos os acessos privilegiados pela utilização do comando "sudo". Registra qual usuário executou o comando, em qual host, terminal, caminho, comando executado e qual era o usuário no momento da execução.
IMPORTANTE: Quando o servidor for invadido, os primeiros arquivos "zerados" serão:
- /var/log/messages
- /var/log/syslog
- /var/log/lastlog
- /var/log/wtmp
- ~/.bash_history
Para quem não sabe o .bash_history grava todos os comandos digitados.
Daemon Syslogd
O Daemon Syslogd é responsável pela escrita de logs nos arquivos, o mesmo permite personalizar diferentes logs no sistema, como direcionar uma saída de log para um host remoto, exibir uma saída de log a um terminal específico etc.
O syslogd pode ser configurado através do arquivo /etc/syslog.conf utilizando a sintaxe "facility.priority".
- facility: informaremos o responsável pela produção das mensagens. Ex.: kern, mail, news, security, authpriv, user etc.
- priority: define qual será o nível de detalhamento das mensagens enviadas por facility. Ex.: debug, info, notice, warning, error, crit, alert, emerg, panic.
Vamos configurar o syslogd para mandar todas as mensagens de priority alert e warning para o terminal virtual tty 12:
*.alert -/dev/tty12
*.warning -/dev/tty12
Agora iremos direcionar a saída de log para um host remoto, no nosso caso iremos encaminhar para o host chamado "security". Para isso devemos configurar o DNS ou o /etc/hosts para que o firewall conheça este host.
*.alert @security
*.warning @security
Para finalizarmos a configuração acima devemos abrir a porta UDP 514 e iniciar o syslog do host remoto incluindo a opção "-r" no final do comando. Ex.:
# /usr/sbin/syslogd -r
Obs.: Somente lembrando que após realizarmos qualquer alteração no syslog devemos reiniciar o mesmo.
Espero ter ajudado.
Instalando Kernel 2.6.39.2 no Slackware 12
Versão para impressora
Indicar para um amigo
Enviar dica