Syntax highlighting of
linux/logs
= Логи и аудит =
'''Функция системного журналирования (логирование)''' — это основной источник информации о работе системы и ошибках. В системе Linux почти все действия записываются. Именно эти данные помогают разбираться в проблемах с ОС.
Логи могут храниться как локально, так и пересылаться на удаленную систему.
Пересылка логов имеет следующие плюсы:
* Возможность централизованного сбора и анализа логов (все логи со всех устройств прилетают в одно место. Это значительно упростит работу с логами)
* Защита от удаления логов на локальной машине
* Оптимизация места на диске в локальной ОС (логи не будут храниться в ОС, т.к. будут сразу пересылаться в систему сбора логов. Данная функция настраиватся отдельно)
В ОС Linux главным файлом локального журналирования является:
Ubuntu/Debian — /var/log/syslog
RHEL/CentOS — /var/log/messages
Помимо логов, в Unix-системах используют аудит. В linux эту функцию выполняет ''linux audit daemon''.
'''Linux Audit Daemon''' - это среда, позволяющая проводить аудит событий в системе Linux. Используя мощную систему аудита возможно отслеживать многие типы событий для мониторинга и проверки системы, например:
* доступ к файлам;
* изменение прав на файлы;
* просмотр пользователей, изменивших конкретный файл;
* обнаружение несанкционированных изменений;
* мониторинг системных вызовов и функций;
* обнаружение аномалий, таких как сбои;
* мониторинг набора команд.
Аудит различает 4 вида доступа к файлу:
. r — чтение
. w — запись в файл
. x — выполнение файла
. a — изменение атрибута