特集
2003/10/08 21:33 更新
UNIX USER2003年11月号「Pragmatic UNIX」より転載
シスログの運用 (1/8)
前回は、シスログがどのようなもので、どういうふうに設定するのかという基本を説明しました。今回は、OSにデフォルトで組み込まれている設定ファイルと、ネットワークを通した一元管理の方法を中心に話を進めます。
|
UNIX USER 2003年11月号より転載
 Solaris、FreeBSD、Linuxのデフォルトでは、どのOSも採取しておくのが妥当と思われるログを残す設定になっています。OS間で大きく違うのは、ログファイルの出力先です。最初に、OS組み込みのシスログ設定ファイル(/etc/syslog.conf)の内容を比較しておきましょう。以下に示す設定ファイルでは、コメント文は基本的に削除し、便宜上行番号を振っています。
●Solarisのデフォルト設定
1行目はコンソールへメッセージを出力する設定です。/dev/sysmsgは、コンソールへのメッセージ出力時に使用するデバイスですね。重要度レベルが「err」以上のものすべて(err、crit、alert、emerg)、およびカーネルと認証プログラムの出力するnotice以上のメッセージはコンソールへ出力されます。 2行目は一般的なメッセージを出力する設定です。Solarisでは、一般的なメッセージは/var/adm/messagesに出力されます。 ここで少し脱線して、suコマンドの実行を例に、シスログの動きを少し具体的に見てみましょう。suコマンド成功/失敗時のセレクタ(ファシリティと重要度レベル)は次のようになります。
成功時 → auth.notice ユーザーがsuコマンドを実行してほかのユーザーへの切り替わりに成功したとき、メッセージはコンソールにだけ出力されます。リスト1の1行目の「auth.notice」に該当するからです。suコマンドが成功したときは記録に残りません。逆に、パスワードの打ち込みミスなどでsuコマンドが失敗した場合、1行目と2行目の「*.err」に該当するので、コンソールと/var/adm/messagesファイルの両方に出力されます。つまり、失敗したことが後で丸分かりなわけです。これがログ保存の仕組みです。 では設定に話を戻して、4〜5行目は「err」や「alert」と重要度レベルが高いですね。これは、重要なメッセージを管理者の端末にも出力するという設定です。管理者とはいえ、いつもログファイルを監視しているわけではありませんので、緊急度や危険性の高い事態が起こったときには、管理者の向かっている端末にメッセージが出力されるようになっています。 7行目は、ログインしている全ユーザーにメッセージを通知する設定です。emergレベルなので、システムがパニックを起こしたときなどにこの通知が行われます。システムはパニックを起こすとダウンしてしまうので、ユーザーがこれを受け取ったら作業を中断し、素早くログアウトする必要があります(もちろん、このメッセージを受け取った時点ではもう間に合わないかもしれませんが、あがけるところまではあがくのが筋でしょう)。 9行目の指定は今回の説明のメインで、メールファシリティの情報をloghostというホストで集中管理させるための記述です。Solarisではメールファシリティのみ設定がありますが、ほかにもさまざまなログをネットワーク上の1か所で集中管理しておくと、管理が楽になりますし、ログの不正書き換え検知にも役立ちます。これについては後ほど詳しく説明します。 11〜16行目は、シスログの集中管理時に、メッセージ送信を除外するための設定です。userファシリティのメッセージは一般のユーザープログラムの場合が多いので、中央に集めて管理する必要はないだろうという考え方です。
関連リンク
|
[山下 哲典,UNIX USER]
Copyright © ITmedia, Inc. All Rights Reserved.
