Sistema de gerenciamento de logs do Linux

amaurybsouza

Nesse artigo venho apresentar de forma objetiva e breve, o sistema de gerenciamento de logs do Linux, os tipos existentes e alguns exemplos usando comandos e arquivos de configuração.

[ Hits: 11.550 ]

Por: Amaury Borges Souza em 22/11/2018 | Blog: https://amaurybsouza.medium.com/

7 0

Denuncie Favoritos Indicar Impressora

Outro gerenciador de log, systemd-journal

Execute:

ps axu | grep journal

root       249  0.0  0.3 111556 26440 ?        S<s  16:48   0:00 /lib/systemd/systemd-journald
root      8360  0.0  0.0  21536  1092 pts/1    S+   18:22   0:00 grep --color=auto journal

1) O systemd-journal é o sistema gerenciador de logs do systemd.

O systemd-journal tem seus arquivos de configuração, sistema de rotacionamento, processo de rotacionamento, possui todo o fluxo que é feito pelo syslog, pelo logrotate.

Arquivo de configuração do journal: /etc/systemd/journald.conf

tem as definições de onde são armazenados os logs.
como vai ser comprimidos.
como vai ser o rotacionamento.

a) O journal mantém o registro de log até o tamanho máximo de 10% da minha partição.

2) /var/log/journal/ (os logs serão enviados para este diretório)

# journalctl

Comando usado para ler as informações de log registradas pelo systemd-journal.

Rodando ele vai mostrar todos os logs armazenados no sistema, log de boot, aplicações, kernel.

Podemos filtrar somente o que queremos do journalctl, veja abaixo:

a) Mostrar apenas os 5 últimos registros de logs:

# journalctl -n 5
-- Logs begin at Sat 2018-04-28 14:37:45 -03, end at Thu 2018-08-02 18:32:45 -03. -- ago 02 18:30:38 maumau dhclient[1158]: bound to 192.168.0.107 -- renewal in 3422 seconds. ago 02 18:30:38 maumau systemd[1]: Starting Network Manager Script Dispatcher Service... ago 02 18:30:38 maumau dbus-daemon[748]: [system] Successfully activated service 'org.freedesktop.nm_dispatcher' ago 02 18:30:38 maumau systemd[1]: Started Network Manager Script Dispatcher Service. ago 02 18:32:45 maumau org.gnome.Shell.desktop[1619]: [5903:5903:0802/183245.784268:ERROR:CONSOLE(6)] "Uncaught ReferenceError: gbar is not defined", lines 1-6/6 (END)

b) Mostrar somente logs relacionados ao boot do sistema:

journalctl -b

c) Ficar olhando em tempo real o que acontece (equivalente ao tail -f):

journalctl -f

d) Mostrar só o que veio através do kernel:

journalctl _TRANSPORT=kernel

e) Mostrar só o que veio do usuário root, filtra por usuários:

journalctl _UID=0

f) Só os logs de hoje:

journalctl --since "today"

g) Só os logs de uma hora atrás:

journalctl --since "1 hour ago"

h) Só os logs de um dia atrás:

journalctl --since "1 day ago"

Página anterior

Páginas do artigo

   1. Sistema de gerenciamento de logs do Linux - syslog
   2. Logs de testes e rotacionamento de logs
   3. Outro gerenciador de log, systemd-journal

Outros artigos deste autor

Principais Comandos de Gestão e Prioridade de Processos no Linux

Trilha Filesystems Linux - Operação de Sistemas de Arquivos

Gerenciamento de pacotes Debian - principais comandos LPIC-1

Leitura recomendada

Elaborando uma política de segurança para a empresa

Servidor de e-mail seguro com ClamAV e MailScanner

Configurando o IDS - Snort / Honeypot (parte 1)

PHLAK :: [P]rofessional [H]acker's [L]inux [A]ssault [K]it