Analisando arquivos de registro (log)
Nesse artigo é abordada a configuração e o funcionamento do gerenciador de arquivos de registros, o syslogd. Os logs são os melhores amigos do administrador de sistemas e é indispensável um bom domínio sobre seu funcionamento e sintaxe.
Introdução
As máquinas Unix possuem um sistema simples de registro, porém
é muito útil. Os programas possuem duas alternativas principais
para gerar arquivos de registro:
A forma mais comum pela qual os programas registram as informações é através do daemon syslogd. Trata-se de um programa cujo único propósito é oferecer um método comum de registro para programas diferentes. O syslog determina o que fazer com os registros de acordo com dois ítens: seus recursos e o nível do registro.
Alguns processos manipulam seu próprio registro, isso significa que os arquivos de registro contém saídas provenientes somente dessa fonte. Esses arquivos são, geralmente, determinados através dos argumentos da linha de comando ou de arquivos de configuração, ou até mesmo embutidos no código no programa.
Exemplo: o servidor Apache tem um arquivo de registro de acesso contendo as URLs acessadas e um de erros que armazena os problemas ocorridos (erros 404, CGI inválidas, etc).
Cada programa que escreve seu próprio arquivo de registro (log) faz-se de forma diferente dos demais, porém, já que muitos usam o syslog, vamos ver um pouco mais sobre ele.
Mensagens do syslog
A forma mais comum pela qual os programas registram as informações é através do daemon syslogd. Trata-se de um programa cujo único propósito é oferecer um método comum de registro para programas diferentes. O syslog determina o que fazer com os registros de acordo com dois ítens: seus recursos e o nível do registro.
Arquivos de registro gerenciados por processo
Alguns processos manipulam seu próprio registro, isso significa que os arquivos de registro contém saídas provenientes somente dessa fonte. Esses arquivos são, geralmente, determinados através dos argumentos da linha de comando ou de arquivos de configuração, ou até mesmo embutidos no código no programa.
Exemplo: o servidor Apache tem um arquivo de registro de acesso contendo as URLs acessadas e um de erros que armazena os problemas ocorridos (erros 404, CGI inválidas, etc).
Cada programa que escreve seu próprio arquivo de registro (log) faz-se de forma diferente dos demais, porém, já que muitos usam o syslog, vamos ver um pouco mais sobre ele.
Pode ser usado em conjunto ao que eu escrevi sobre prevenção e rastreamento de um ataque :)