A Unix rendszerek egyik legnagyobb előnye az a részletes és bőséges naplófile-előállítás, mely segítségével szinte minden, a rendszerben előforduló hiba kinyomozható. Habár egy jól kihasznált szerver napi több tíz megabájtnyi naplófile-t is előállíthat, érdemes ezeket rendszeresen átvizsgálni akár manuálisan, akár valamilyen segédeszközzel.
Egy tipikus Linux-rendszerben a logfile-ok a /var/log könyvtárban találhatóak. A file-ok nevei magukért beszélnek, nézzük azért végig a leggyakoriabbakat:
- auth.log - ebben a file-ban különféle autentikációs adatok (login, logout) találhatóak
- daemon.log - itt a rendszerben működő daemonok üzeneteit láthatjuk
- dmesg - általában rendszerindítási, illetve a kernellel kapcsolatos információkat tárol
- kern.log - a kernel üzeneteit találhatjuk benne
- mail.err, mail.info, mail.log - e naplófile-ok a levelezéssel kapcsolatos általános logokat, illetve hibaüzeneteket tartalmaznak
- messages, syslog - általános rendszerinformációk gyűjtőhelye
- xferlog - FTP-tranzakciók naplózására szolgáló file.
A naplófile-ok a sysklogd segítségével készülnek, mely alapvetően két részből áll. A syslogd a különféle rendszeralkalmazások, daemonok logolására, míg a klogd a kernel üzeneteinek naplózására szolgál. A legtöbb disztribúcióban alapértelmezett logger a sysklogd, de komplexebb rendszerekben igen hatékony naplózást tudunk elérni a magyar fejlesztésű syslog-ng-vel, mely többek között hatákony naplóválogatást és távoli szerverre történő logolást is biztosít.
A naplózás beállításait a /etc/syslog.conf file-ban módosíthatjuk. Ha belenézünk, sok egyéb mellett az alábbiakat láthatjuk:
- daemon.* -/var/log/daemon.log
- kern.* -/var/log/kern.log
Világosan látszik tehát, hogy milyen módon szabályozhatjuk a naplózás folyamatát: a rendszerüzeneteket típusuk alapján külön file-okba válogathatjuk, de adott esetben beleszólhat a folyamatba az üzenet fontossága (debug, info, notice, warning) is.
Egy ügyes mozdulattal megoldhatjuk, hogy minden rendszerüzenet egy nem használt képernyőn is megjelenjen, ehhez mindössze az alábbiakat kell a konfigurációs file-ba írnunk:
*.* /dev/tty12
Innentől fogva minden üzenet a 12-es konzolra is naplózódik, nagyon hatékony segítséget nyújtva a hibakereséshez.Bizonyos alkalmazások (pl. Exim, Apache, Squid) önálló naplófile-lal is rendelkezhetnek, így azok üzenetei nem feltétlenül a rendszer naplóiban jelennek meg. A Postfix viszont a mail.* file-okban helyezi el üzeneteit.
Meglehetősen nagy problémát jelentene, ha minden nap minden logfile-t saját szemünkkel szeretnénk átnézni, ezért ezt a megoldást el is vethetjük. Érdemes logelemző alkalmazásokat segítségül hívnunk.
Kedvenc alkalmazásunk a logcheck, mely megadott kritériumok alapján átnéz megadott naplófile-okat, és összesítést küld számunkra, kiemelve az egyes üzenetek kritikusságát.
Nagyon praktikus segédeszköz a Webalizer (
http://www.mrunix.net/webalizer/)), mely Apache webkiszolgálónk látogatottságáról készít rendkívül látványos elemzéseket:
Proxy szerverünk naplóinak elemzésére kiváló eszköz a Calamaris(http://cord.de/tools/squid/calamaris/Welcome.html), mely akár e-mailben, akár webes felületen tudósít bennünket a proxy-nk kihasználtságáról, a látogatott oldalakról, találati arányokról: