Gostaria de falar um pouco sobre arquivos de logs, pois muitos iniciantes e até mesmo alguns experts em Linux falham na hora de saber onde localizar determinado tipo de log.

Os principais arquivos de logs ficam localizados em /var/log/.

Abaixo iremos conhecer um pouco mais sobre sobre os arquivos de logs.

• messages e syslog: registram todas as mensagens de erro, alertas, autenticação, acesso etc. Em syslog também são gravadas as informações sobre kernel.
• dmesg: fornece dados do hardware durante processo de boot. O resultado deve ser igual ao comando "dmesg".
• boot.log: todas as mensagens de sistema durante o processo de boot são escritas neste arquivo.
• auth.log: registra todos os dados de autenticação.
• sudo.log: registra todos os acessos privilegiados pela utilização do comando "sudo". Registra qual usuário executou o comando, em qual host, terminal, caminho, comando executado e qual era o usuário no momento da execução.

IMPORTANTE: Quando o servidor for invadido, os primeiros arquivos "zerados" serão:

• /var/log/messages
• /var/log/syslog
• /var/log/lastlog
• /var/log/wtmp
• ~/.bash_history

Para quem não sabe o .bash_history grava todos os comandos digitados.

Daemon Syslogd

O Daemon Syslogd é responsável pela escrita de logs nos arquivos, o mesmo permite personalizar diferentes logs no sistema, como direcionar uma saída de log para um host remoto, exibir uma saída de log a um terminal específico etc.

O syslogd pode ser configurado através do arquivo /etc/syslog.conf utilizando a sintaxe "facility.priority".

• facility: informaremos o responsável pela produção das mensagens. Ex.: kern, mail, news, security, authpriv, user etc.
• priority: define qual será o nível de detalhamento das mensagens enviadas por facility. Ex.: debug, info, notice, warning, error, crit, alert, emerg, panic.

Vamos configurar o syslogd para mandar todas as mensagens de priority alert e warning para o terminal virtual tty 12:


Agora iremos direcionar a saída de log para um host remoto, no nosso caso iremos encaminhar para o host chamado "security". Para isso devemos configurar o DNS ou o /etc/hosts para que o firewall conheça este host.


Para finalizarmos a configuração acima devemos abrir a porta UDP 514 e iniciar o syslog do host remoto incluindo a opção "-r" no final do comando. Ex.:

# /usr/sbin/syslogd -r

Obs.: Somente lembrando que após realizarmos qualquer alteração no syslog devemos reiniciar o mesmo.

Espero ter ajudado.