RedHat Certified System Administrator 7 (RHCSA 7) – Sistemas en Funcionamiento III – LOGS

Siguiendo con la serie de posts relacionados al RHCSA 7, hoy nos ocuparemos del objetivo que reza:

Ubicar e interpretar archivos de registro del sistema y diarios

Como lo venimos haciendo en posts anteriores (RHCSA, RHCSA I, y RHCSA II) haremos un somero repaso sobre los temas mas conocidos para un administrador linux y nos centraremos mas sobre las nuevas características de Red Hat 7.

En esta sencilla oración, “Ubicar e interpretar archivos de registro del sistema y diarios”, o mas estéticamente en ingles: “Locate and interpret system log files and journals.”
se nos pide tener un conocimiento, al menos básico de los logs y journals, así que… empecemos!

Logs, historicamente

Syslogd es un daemon originalmente creado por el autor de Sendmail, para ser usado solo por Sendmail, sin embargo, dado su utilidad, se convirtió en un estándar de facto[1] en los sistemas Unix, no solo para Sendmail, si no para administrar todos los registros.
Este estándar de facto consta de 2 partes principales, el daemon syslog y el protocolo syslog.
El daemon es el encargado de recibir (tanto desde el sistema local, como de otoso sistemas, remotamente) y escribir los registros de cada daemon y del mismo kernel. Por otro lado el protocolo es el que se encarga de transmitir mediante la red los registros, desde el daemon emisor al server syslog.

Como bien debes saber ( o no ), syslog establece una prioridad para cada mensaje, esta prioridad se compone por la identificación del recurso, y la severidad, a saber:

Recursos (facility)
0: Mensajes del kernel (kern)
1: Mensajes del nivel de usuario (user)
2: Sistema de correo (mail)
3: Demonios de sistema (daemon)
4: Seguridad/Autorización (auth)
5: Mensajes generados internamente por syslogd (syslog)
6: Subsistema de impresión (lpr)
7: Subsistema de noticias sobre la red (news)
8: Subsistema UUCP (uucp)
9: Demonio de reloj (clock)
10: Seguridad/Autorización (authpriv)
11: Demonio de FTP (ftp)
12: Subsistema de NTP
13: Inspección del registro
14: Alerta sobre el registro
15: Demonio de reloj (cron)
16: Uso local 0 (local0)
17: Uso local 1 (local1)
18: Uso local 2 (local2)
19: Uso local 3 (local3)
20: Uso local 4 (local4)
21: Uso local 5 (local5)
22: Uso local 6 (local6)
23: Uso local 7 (local7)

Severidades  (severity)
0: Emergencia: el sistema está inutilizable (emerg)
1: Alerta: se debe actuar inmediatamente (alert)
2: Crítico: condiciones críticas (crit)
3: Error: condiciones de error (err)
4: Peligro: condiciones de peligro (warning)
5: Aviso: normal, pero condiciones notables (notice)
6: Información: mensajes informativos (info)
7: Depuración: mensajes de bajo nivel (debug)

En base a la Prioridad (facility*8 + severity) el daemon syslogd determina donde guardara los registros.
Esta configuración la podíamos encontrar en /etc/syslog.conf y comúnmente apuntaba a algún archivo dentro del /var/log

Logs en Red Hat 7

Actualmente, y desde hace un tiempo Red Hat utiliza rsyslogd una implementación de syslog que implementa el RFC 3195 , TCP, SSL, carga de diferentes modulos y permite una gran variedad de funciones, que lo transforman en un excelente administrador de registros (logs).

Si bien la configuración de rsyslogd permite una enorme cantidad [2] de variables, su configuración por defecto refleja la utilización mas básica.

Si exploramos el /etc/rsyslog.conf veremos que las siguientes lineas nos indican donde buscar los distintos mensajes

#kern.*                                     /dev/console
*.info;mail.none;authpriv.none;cron.none    /var/log/messages
authpriv.*                                 /var/log/secure
mail.*                                    -/var/log/maillog
cron.*                                    /var/log/cron
uucp,news.crit                            /var/log/spooler
local7.*                                  /var/log/boot.log

Tenemos entonces aquí, un punto de partida para saber donde buscar registros,de los distintos daemons sobre los que trabajemos.
En este post hay un artículo sobre como configurar rsyslog para centralizar los registros.

Journald

Por otro lado, Red Hat 7 ya no necesita de un daemon que implemente syslog, para administrar los registros, ya que Journald, un daemon parte de la colección de novedades de systemd, administra y almacena los registros. En este documento, pueden encontrar las razones para utilizar una solución mas avanzada en la administración de logs.

Dentro de las características principales de journald, es que guarda los registros de forma indexada y en formato binario, esto nos permite, entre otras ventajas, poder buscar y visualizar los logs de forma mucho mas rápida y efectiva.

Journalctl

Para la tarea de visualizar los logs de journald, contamos con la herramienta journalctl. Ejecutándolo sin mas, obtendremos la salida de todos los logs almacenados con un ‘pager’, que nos permitirá navegar por los registros.
Con journalctl podemos filtrar por prioridad, por el programa que lo genero, por fecha, y por booteo sin necesidad de ‘entubar’ (usar tuberias/pipes) a otros programas.

Ejemplos:

#Obtener logs desde el ultimo booteo
journalctl -b
#Obtener lista de booteos
journalctl --list-boots
#Obtener logs de ssh
journalctl /sbin/sshd
#Obtener logs de una prioridad determinada
journalctl -p err
#Obtener los logs en base a fechas
journalctl --since=yesterday
journalctl --since=2016-04-01 --until=2016-04-12
#Salida analoga al tailf -f
journalctl -f

Todas estas opciones pueden complementarse entre si, para poder precisar de forma especifica lo que necesitamos, sin necesidad de andar escarbando entre archivos y concatenando greps y awks.
A mas de esto, journalctl nos permite especificar distintos formatos de salidas utilizando el parametro –output:

short
short-iso
short-precise
short-monotonic
verbose
export
json
json-pretty
json-sse
cat

Conclusion

Concluyendo, para tener un conocimiento básico de los logs en Red Hat 7, conviene utilizar journalctl para familiarizarnos con la herramienta, revisar un poco el man y buscar de lograr obtener toda la información que solíamos buscar antes de que systemd nos invadiera.

~have fun

[1] RFC 3164 es la definición original, actualmente no se encuentra en vigencia

[2] Manual de RedHat 7 sobre rsyslog

One thought on “RedHat Certified System Administrator 7 (RHCSA 7) – Sistemas en Funcionamiento III – LOGS

Leave a Reply