SYSLOGD est un démon permettant la remontée de message vers fichier, messagerie ou serveur SYSLOG selon le type des messages et la gravité de ceux-ci. Il permet donc de stocker à un endroit tous les événements selon
1 Démarrage et arrêt de SYSLOG.
Le service de surveillance ‘syslogd’ est lancé automatiquement au démarrage du système. Toutefois, il est possible de le relancer, de l’arrêter et de le relancer par le gestionnaire de ressource.
‘lssrc –s syslogd’ : Permet de connaître le statut du sous-système ‘syslogd’.
‘stopsrc –s syslogd’ : Permet d’arrêter le service de remontée de journaux.( Passage à l’état ‘inactif/inactive’.
‘startsrc –s syslogd’ : Permet de relancer le service de surveillance( Passage à l’état ‘actif/active’).
‘refresh –s syslogd’ : Rafraîchit le service ‘syslogd’ et provoque la relecture du fichier ‘/etc/syslog.conf’.
2 Fichier de paramétrage /etc/syslog.conf.
Le fichier de paramétrage de ‘syslogd’ se trouve dans ‘/etc’ et se nomme ‘syslog.conf’. Il est éditable sous ‘vi’ et comporte un format spécifique : Criticité.Type Receveur
3 Options.
Les options possibles de Criticité sont les suivantes :
- emerg Messages d’URGENCE (LOG_EMERG). These messages are not distributed to all users.
LOG_EMERG priority messages can be logged into a separate file for reviewing.
- alert Messages IMPORTANTS (LOG_ALERT), such as a serious hardware error. These messages are distributed to all users.
- crit Messages CRITIQUES non classés comme erreurs. (LOG_CRIT), tels que échec de connexion. LOG_CRIT and higher-priority messages are sent to the system console.
- err Messages informant d’une condition d’erreur(LOG_ERR), telle qu’un échec d’écriture disque.
- warning : Erreurs anormales mais récupérables (LOG_WARNING).
- notice : Message d’information important. (LOG_NOTICE). Les messages sans priorité sont envoyés avec cette criticité.
- info Messages d’information (LOG_INFO). Peuvent être jetés mais servent pour l’analyse de problèmes.
- debug Messages de debogage. (LOG_DEBUG). Peuvent être jetés.
- none Exclure le type de message spécifié. This priority level is useful only if preceded by an entry with an * (asterisk) in the same selector field. Les types de messages possibles sont :
- kern Kernel
- user User level
- mail Mail subsystem
- daemon System daemons
- auth Security or authorization
- syslog : syslogd daemon
- lpr Line-printer subsystem
- news News subsystem
- uucp uucp subsystem
- * : Tous les types de problèmes. Le receveur peut être un fichier, un ou plusieurs noms d’utilisateurs ( messagerie locale) ou un serveur de SYSLOGD. Pour un serveur, le nom IP ou son adresse doit être précédé de ‘@’. Exemple : @D600
4 Exemples syslog.
Contenu exemple d’un fichier ‘/etc/syslog.conf’.
Exemple:
Fichier actuel
5 Test de ‘syslogd’.
Pour tester la remontée d’informations, il est possible d’utiliser la commande ‘logger’ d’AIX.
La syntaxe de la commande de base est : ‘ logger -p priorité Message’
Exemple : ‘logger –p 0 Emergency test’ envoie un message de niveau EMERG au serveur défini dans ‘/etc/syslog.conf’.
6 Redirection de ERRPT vers SYSLOG.
1. Vider le fichier des journaux.
# errclear 0
2. Créer le fichier pour l’action de mise dans le SYSLOG :
# vi /tmp/syslog.add
Remarque : Le fait de remplir d'autres champs limites les réactions aux seuls message contenant le texte donné.
3. Ajouter l’entrée dans la base ODM.
# odmadd /tmp/syslog.add
4. Editer le fichier /etc/syslog.conf et valider le receveur. Si c’est un fichier, créer le fichier vide.
Pour envoyer vers un serveur SYSLOG (exemple ‘aws3’) utiliser :
*.notice @aws3
Sur le serveur SYSLOG.
§ Rafraîchir le démon ‘syslogd’ : ‘refresh –s syslogd’
5. Tester :
# errlogger “Hello World”
# errpt –a
6. Valider le résultat sur le serveur SYSLOG
Ci-dessous une partie de la présentation SYSLog par IBM(en Anglais):
The key to ensuring that a system remains secure is by constantly monitoring messages posted by the various system daemons and other programs. Most of these programs report errors and other messages through the syslogd daemon, which is responsible for dispatching these messages based on their severity and their facility (or source). While the syslogd daemon is active by default in AIX, the configuration of syslogd does no logging of any messages it receives, silently discarding them.
Syslogd: facilities, priorities, and destinations
The /etc/syslog.conf configuration file determines how messages from a particular source and of a set priority will be dealt with. Every system program that uses syslogd will transmit messages at a predefined facility. Those facilities are:
kern |
kernel messages |
user |
various user-level programs |
mail |
sendmail |
daemon |
system daemons, including ftpd |
auth |
authorization messages |
authpriv |
authorization messages whose viewing should be restricted to root |
syslog |
messages generated internally by the syslog daemon |
lpr |
lpd (printer subsystem) |
news |
nntp (news) server messages |
uucp |
uucp subsystem messages |
cron |
crond messages |
local0 - local7 |
facilities available for administrator-defined use |
Each message sent to syslogd also has a severity or priority attached to it. Those priorities, in order of severity from highest to lowest, are:
emerg |
daemon or subsystem failure has occurred or is pending |
alert |
immediate action is required to prevent failure |
crit |
a critical condition has occurred |
err |
an error has occurred |
warning |
a warning has occurred |
notice |
a normal, but significant event has occurred |
info |
informational messages |
debug |
debug-level messages |
The syslogd daemon dispatches the message to a given destination, based upon the configuration in the/etc/syslogd.conf configuration file. Destinations may be:
file name |
records the message in the log file specified |
@hostname |
transmits the message to the syslogd daemon running on the specified hostname |
user |
writes the message to the terminal of the specified user name |
* |
writes the message to the terminals of all logged-in users |
errlog |
transmits the message to the AIX error logging facility (errdemon) for inclusion in the errpt |
Configuration of the syslog.conf file
There is no single correct way to configure the syslogd daemon; the administrator needs to determine a site's configuration based on the standard practices used by their organization. The following example, however, will provide a good starting point.
####################################################################### ## /etc/syslog.conf ## ####################################################################### # record messages from all facilities at severity "alert" or higher in # the AIX errlog ... *.alert errlog # record messages from all facilities at severity "err" or higher in # the log file /var/adm/errorlog *.err /var/adm/errorlog # record messages from the "mail" facility at severity "info" or # higher in the log file /var/adm/mail.log mail.info /var/adm/mail.log # record messages from the "auth" and "authpriv" facilities at # severity "info" or higher in the log file /var/adm/auth.log auth,authpriv.info /var/adm/auth.log # record messages from the "daemon" facility at severity "info" or # higher in the log file /var/adm/daemon.log daemon.info /var/adm/daemon.log ####################################################################### |
The syslogd daemon will not write to a file if it does not already exist, so be sure to touch any log files that have been specified. In addition, ensure that the permissions on log files are set so that only authorized users can view their contents. After making changes to the syslog.conf file, the syslogd daemon must be restarted by typing refresh -s syslogd . It is important that the log files are pruned on a regular basis, or they will grow until the filesystem is filled up. Pruning or rotating of log files should be handled by a daily cleanup script.
