Linuxで自宅サーバー構築(シスログの仕組み)

>>Linuxで自宅サーバー公開（TOP) >>シスログ(syslog)の仕組み

　シスログとは？　　

　　シスログとは、OS（ここではLinux）の動作状態に関する情報を収集して、その結果を出力
　する役割を担っています。
　サーバーを運用する場合は、不特定多数の人が利用することになります。
　どのようなユーザーがどのように利用しているかを知る必要があります。
　また、サーバーの動作が不安定になった場合、その原因を探る手がかりとなります。
　サーバー管理者として、ぜひマスターしましょう。（自分にも言い聞かせて^^;)

　▲先頭へ戻る

　シスログの仕組み

　シスログではファシリティ（出力元）とプライオリティ（優先レベル）に応じて適切に
　ログを分類しています。出力先は、ログファイルだけでなくコンソールや他のネットワーク
　マシンを指定することも可能です。
　※ファシリティ（出力元）とプライオリティ（優先レベル）がポイントですね！

　　 syslogdのイメージ図

　　　※ファシリティとプライオリティは以下の表を参照

　　　　　・ファシリティ（出力元）の分類

出力元 意味

kern カーネルが生成するメッセージ

user ユーザーが生成するメッセージ

mail メールシステムが生成するメッセージ

deamon デーモンが生成するメッセージ

auth 認証システムが生成するメッセージ

syslog シスログ自体が生成するメッセージ

lpr プリントシステムが生成するメッセージ

news ニュースシステムが生成するメッセージ

uucp (Unix to Unix CoPy)が生成するメッセージ

cron cronが生成するメッセージ

local0-local7 独自に定義できるメッセージ

　　　　　・プライオリティ（優先レベル）の分類

優先レベル 意味

emerg 非常に危険（システムを運用できない）

alert 危険

crit 緊急（早急の対処が必要）

err 一般的なエラー

warning 警告

notice 通知

info 情報

debug デバック用

none 出力しない

　▲先頭へ戻る

　シスログの設定

　　　シスログの設定は、｢syslog.conf｣ファイルによって行ないます。VineLinuxの場合は
　　/etc ディレクトリ配下に格納されています。

　　実際に｢syslog.conf｣ファイルの設定を確認してみましょう。

　<syslog.confファイルより抜粋>

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
↑出力元*(全て)、優先レベルinfo（情報)以上のメッセージは
　｢/var/log/messages｣ファイルへ出力
　但し、authpriv(認証システム）とcron（cronが生成するメッセージ）はnone(出力しない)

# The authpriv file has restricted access.
authpriv.* /var/log/secure
↑出力元authpriv(認証システム)、優先レベル*(全て)のメッセージは
　｢/var/log/secure｣へ出力する。

# Log all the mail messages in one place.
mail.* /var/log/maillog
↑出力元mail(メールシステム)、優先レベル*(全て)のメッセージは
　｢/var/log/maillog｣へ出力する。

# Log cron stuff
cron.* /var/log/cron
↑出力元cron(cron)、優先レベル*(全て)のメッセージは
　｢/var/log/crom｣へ出力する。

# Everybody gets emergency messages, plus log them on another
# machine.
*.emerg *
↑出力元*(全て)、優先レベルemerg(非常に危険)のメッセージは
全ての出力先（ログファイル、コンソールなど）に通知

# Save mail and news errors of level err and higher in a
# special file.
uucp,news.crit /var/log/spooler
↑出力元uucp,news(UMIX to UNIX copyとニュース)、優先レベルcrit(緊急)のメッセージは
/var/log/spoolerへ出力

# Save boot messages also to boot.log
local7.* /var/log/boot.log
↑システムのブート・シャットダウン時、、*(全て)のメッセージは
/var/log/boot.logへ出力

　　｢syslog.conf｣ファイルを設定することにより、ログの分類や記録（通知）先を設定することができます。
　　記述もそれほど複雑でないので、ファシリティ（出力元）とプライオリティ（優先レベル）を適切に設定
　　しましょう。

　シスログのチェック

　　実際に以下のログは豆にチェックするように心がけています。
　　※見知らぬホストからのアクセスは要注意です。
　　
　　・プログラムの実行ログ( /var/log/message )

↓プログラム（Antivir)の実行ログ
Jan 12 01:00:56 xxx antivir[10741]: AntiVir successfully updated itself
Jan 12 01:30:11 xxx antivir[10757]: AntiVir is up-to-date

　　※プログラムの実行エラーなどここを見ると参考になります。

　　・メール（MTA）の動作ログファイル( /var/log/maillog )

↓メール不正アクセスの例(以下はアクセスのみのようですが）
Jan 1 15:13:27 xxx postfix/smtpd[29008]: connect from unknown[221.216.122.40]
Jan 1 15:13:30 xxx postfix/smtpd[29008]: warning: Illegal address syntax from unknown[221.216.122.40] in MAIL command:g413933@kt.co.kr
Jan 1 15:13:36 xxx postfix/smtpd[29008]: lost connection after MAIL from unknown[221.216.122.40]
Jan 1 15:13:36 xxx postfix/smtpd[29008]: disconnect from unknown[221.216.122.40]

　　※メールサーバーの不正利用や障害要因を探るのに参考になります。
　　　（メールサーバーへの不正アクセスは思いのほか多いです。）

　　・認証システムの動作ログ( /var/log/secure )

↓sshでの認証ログ
Jan 11 23:16:17 server sshd[10627]: Accepted rsa for user1 from xxxx port xxx
Jan 12 07:58:47 server in.telnetd[11086]: connect from xxx.xxx.xxx.xxx
Jan 12 20:10:45 server sshd[11392]: Accepted rsa for user1 from xxxx port xxx

　　※認証エラーなど不正利用の痕跡が残ります。

　　ポートスキャンやメールの不正中継など、不正な利用がないか確認することはサーバー管理者として
　　重要なことです。日常的にログチェックを行なうよう心がけましょう。

　▲先頭へ戻る