Перейти к содержанию

Настройка регистрации событий#

Обзор регистрации событий#

Важные события в системе записываются в журнал в виде отдельных сообщений (иногда называемые также сообщениями системного журнала), которые могут выводиться на консоль, сохраняться в базу данных, или пересылаться на внешний сервер системного журнала.

В зависимости от уровня серьезности сообщения, выбираемого для регистрации, в число сообщений системного журнала могут входить уведомления о простых и повседневных действиях, а также предупреждения и сообщения о сбоях и ошибках.

В функции регистрации событий системы Numa Edge используется процесс UNIX syslog-ng. Настройка регистрации событий, выполненная из интерфейса командной строки системы, сохраняется в файле /etc/syslog-ng/edge.conf.

По умолчанию локальная регистрация событий включена, а сообщения сохраняются в базе данных /var/log/edge/system.db.

Типы источников сообщений при регистрации событий#

Numa Edge поддерживает стандартные типы источников сообщений системного журнала. Они перечислены ниже. Кроме того, можно избирательно включить регистрацию событий для конкретных компонентов маршрутизации. Эти сведения приведены в разделе «Включение и отключение регистрации событий для конкретных функций».

Таблица – Типы источников сообщений для системного журнала

Тип источника сообщений Описание
All Все типы источников сообщений, исключая "mark"
Auth Проверка подлинности и авторизация
Authpriv Несистемная авторизация
Cron Служба cron
Daemon Системные службы
Kern Ядро
lpr Буфер построчного принтера
mail Подсистема электронной почты
news Подсистема USENET
security Подсистема безопасности
syslog Системная регистрация
user Прикладные процессы
uucp Подсистема UUCP
local0 Локальный сервис 0
local1 Локальный сервис 1
local2 Локальный сервис 2
local3 Локальный сервис 3
local4 Локальный сервис 4
local5 Локальный сервис 5
local6 Локальный сервис 6
local7 Локальный сервис 7 (протоколы маршрутизации)

Файлы журналов для регистрации событий#

При включенной регистрации событий сообщения системного журнала всегда записываются в базу данных system.db в каталоге /var/log/edge локальной файловой системы. Кроме того, системные журналы можно отправить на консоль или на сервер, на котором работает служебная программа syslog (то есть на сервер системного журнала). Также имеется возможность настроить отправку сообщений о событиях системного журнала на электронную почту.

Для вывода сообщений системного журнала на консоль используется команда system syslog console.

Для отправки сообщений системного журнала на удаленный компьютер, на котором работает служебная программа syslog, используется команда system syslog host.

Для отправки сообщений системного журнала по электронной почте используется команда system syslog mail-to.

Местоположение и экспорт журнала#

Сообщения записываются в файл журнала system.db в каталоге /var/log/edge файловой системы Numa Edge. Из этого файла можно производить выгрузку сообщений журнала, удалять определённые записи, также он может очищаться автоматически при заполнении файловой системы, содержащей файл журнала более чем на 90%.

Примечание

По умолчанию, при заполнении файловой системы, содержащей файл журнала более чем на 90%, просматриваются 25% наименее актуальных записей и производится удаление тех из них, что были выгружены.

По умолчанию, система настроена на максимальный уровень требований безопасности, поэтому применяется политика гарантированной сохранности журнала. Это значит, что система не позволит удалить существующие сообщения журнала до тех пор, пока они не будут экспортированы (выгружены) на внешний носитель. Экспорт журнала производится в формате CSV. Рекомендуется выработать и соблюдать регламент выгрузки сообщений журналов, чтобы заполнение файловой системы журналом не привело к отказу в обслуживании. Для уже выгруженных сообщений возможно ручное или автоматическое (по достижении порога заполнения ФС) удаление.

Система также позволяет переключиться в режим, в котором допускается автоматическое и ручное удаление не выгруженных записей. Этот режим не рекомендуется к применению из-за возможной потери регистрируемых событий, за исключением случаев, когда настроено сохранение сообщений журнала на удалённом компьютере. Такой режим позволяет защитить систему от отказа в обслуживании из-за заполнения ФС журналируемыми данными при отсутствии или несоблюдении регламента выгрузки сообщений журнала.

Уровни серьезности сообщений#

При системных событиях создаются сообщения, имеющие различные уровни серьезности, которые зависят от степени их важности для системы.

При настройке уровня серьезности для системного журнала система записывает сообщения журнала с уровнем серьезности не меньше настроенной. Чем ниже указанный уровень серьезности, тем больше подробностей записывается в журналы. Например, если уровень серьезности для журнала настроен как crit, система записывает сообщения журнала, имеющие серьезность crit, alert и emerg.

Сообщения журналов, созданные системой Numa Edge, связываются с одними из перечисленных ниже уровней серьезности.

Серьезность Смысл
emerg Критическая ситуация. Произошел общий сбой системы или другой серьезный сбой, такой что система непригодна для использования.
alert Уведомление. Необходимо немедленное вмешательство для предотвращения перехода системы в непригодное для использования состояние, например, произошел сбой сети или имел место несанкционированный доступ к базе данных.
crit Важнейший. Возникло условие максимальной важности, такое как исчерпание ресурсов, например, в системе отсутствует свободная память, лимиты загрузки ЦП превзойдены или произошёл аппаратный сбой.
err Ошибка. Возникло условие ошибки, например, произошел сбой системного вызова. Однако система все еще функционирует.
warning Предупреждение. Произошло событие, которое может вызвать ошибку, например, передаваемые в функцию недопустимые параметры. За этой ситуацией следует наблюдать.
notice Замечание. Уведомление о важных событиях в системе, не являющихся ошибками, но требующих внимания.
info Информационное. По мере появления сообщается об обычных событиях, которые могут представлять интерес.
debug Уровень отладки. Предоставляются сведения уровня отслеживания.
all Все. Предоставляются сведения обо всех уровнях. Эквивалентно уровню debug.

Предостережение

Есть риск ухудшения качества обслуживания. Уровни серьезности debug и all требовательны к ресурсам. Установка уровня регистрации на debug или all может вызвать ухудшение функционирования системы.

Необходимо иметь в виду что, при включении отладки в протоколах динамической маршрутизации, необходимо изменить уровень серьезности для потока local7 на значение debug. Данное требование связано с тем, что по умолчанию в системном журнале не фиксируются все сообщения, с уровнем серьезности ниже чем notice. И, поскольку отладочные сообщения отправляются с наименьшим уровнем серьезности (debug), они не будут записаны в системный журнал. Данное утверждение справедливо также для службы webproxy и некоторых других служб, для которых возможно задание уровня серьезности посылаемых сообщений в системный журнал.

Пример настройки регистрации событий#

В примере выполняется настройка отправки сообщений журнала связанных с ядром уровня warning и более высоких на удалённую машину в локальной сети c адресом 192.168.10.2, в качестве связки протоколов прикладного и транспортного уровней требуется использовать связку IETF/UDP.

Для этого нужно выполнить следующие действия в режиме настройки:

Пример - Настройка записи журнала на удалённой машине о событиях, связанных с ядром, имеющих уровень серьезности warning и выше#
Указание адреса удаленной машины для записи журнала событий

[edit]
admin@edge# set system syslog host RemoteLogServ address 192.168.10.2 

Указание типа сообщений и уровня критичности для записи в журнал на удалённой машине

[edit]
admin@edge# set system syslog host RemoteLogServ facility kern level warning

Указание протокола транспортного уровня

[edit]
admin@edge# set system syslog host RemoteLogServ transport udp

Фиксация настройки

[edit]
admin@edge# commit

Отображение всех настроек узла system syslog host

[edit]
admin@edge# show system syslog host -all
        RemoteLogServ {
                address 192.168.10.2
                facility kern {
                      level warning
                }
                format plain
                port auto
                protocol ietf
                transport udp
        }
[edit]
admin@edge#

Включение и отключение регистрации событий для конкретных функций#

В некоторых модулях маршрутизатора Numa Edge регистрацию которых можно включить и выключить внутри узла конфигурации для данного модуля. При включении регистрации событий для модуля системы сообщения журнала отправляются в те же места назначения, которые настроены для системного журнала.

Регистрация вводимых команд#

По умолчанию в Numa Edge ведется регистрация вводимых пользователем команд как для интерфейса командной строки, так и для веб-интерфейса. Сообщения регистрации команд, вводимых пользователем в интерфейсе командной строки, заносятся в журнал регистрации от имени программы shell (источник user, уровень серьезности info). Сообщения регистрации действий по настройке, осуществляемых пользователем в веб-интерфейсе, заносятся в журнал регистрации от имени программы webgui (источник user, уровень серьезности info).

Примечание

По умолчанию сообщения источника user с уровнем серьезности info не попадают в журнал регистрации. Настройка типов сообщений, которые отправляются в главный журнал регистрации событий осуществляется при помощи команды system syslog global facility <источник> level <уровень>.