Syslog, Linux işletim sistemimiz üzerinde neler olup bittiğini öğrenmek ve geriye yönelik sisteme giriş, uyarı, durum, hata ve rapor gibi kayıtların tutulduğu sistemlerdir. Bu sayede sistem yöneticileri için büyük önem taşır. Syslog sistem hatalarının, saldırıları veya işletim sisteminde oluşan problemler gibi durumları kayıt altında tutar. Bu gibi durumları tespit edebilmemiz için SysLog kayıtlarını geçmişe yönelik olarak incelememiz yeterli olacaktır. Bu kayıtlar sayesinde sistem yöneticileri sistem üzerindeki anormalileri tespit ederek sistemin verimli veya güvenli çalışmasını sağlar, olası hata durumlarında çözüm üretebilirler.
Syslog sistemlerinin bir diğer özelliği de başka bir sisteme bu kayıtların aktarılabilmesidir. Bu sayede uzaktan log kayıtlarınıza erişebilir ve yönetim sağlayabilirsiniz. Klasik linux sistemlerde bu kayıtlar /etc/syslog.conf şeklinde ayarlanabilir. Ancak modern Linux sistemlerde SysLog’a yeni özellikler eklenerek rsyslogd servisi geliştirilmiştir.
Klasik Linux sistemlerde log kayıtları /var/log dizini altında tutulmaktadır. Bu dizin SysLog aracılığı ile ortak bir şekilde log kayıtların tutulduğu önemli bir dizindir.
SysLog Örnekleri
Sisteme Giriş Kayıtları
Sisteme en son hangi kullanıcının bağlantı sağladığı bilgisi /var/log/lastlog dosyası içeriğinde görüntülenebilir. Bu dosyayı tail veya nano gibi bir editörle açmaya kalkarsanız anlamsız karakterler karşınıza gelir. Bu dosya içeriğini okumak için Linux terminalde “Last” komutunu vermeniz yeterli olacaktır.
[root@domain log]# last
root pts/0 213.44.XX.XX Tue Sep 11 13:09 - 14:57 (01:47)
root pts/0 213.44.XX.XX Tue Sep 11 13:05 - 13:09 (00:03)
root pts/0 78.69.XX.XX Sat Sep 8 21:33 - 21:33 (00:00)
root pts/0 213.44.XX.XX Fri Sep 7 16:00 - 16:01 (00:00)
root pts/0 192.168.XX.XX Wed Aug 15 13:09 - 23:10 (3+10:00)
reboot system boot 3.x.x.x.x Wed Aug 15 13:08 - 01:30 (30+12:21)
Last komutunu terminalde çalıştırdığınız zaman yukarıdaki gibi bir çıktı karşınıza gelecektir. Bu çıktı üzerinde sisteme giriş yapan kullanıcıların hangi ip adresinden bağlandığı ile birlikte, tarih ve saat bilgisini de görebilirsiniz.
Sistem Üzerindeki Son Durum
Linux işletim sistemine ait olan tüm hareketler ve aktiviteler /var/log/messages log dosyası içerisinde yer almaktadır. Tailf veya Nano gibi bir editörle bu dosyayı açarak içeriğini okuyabilirsiniz.
[root@domain log]# tailf /var/log/messages
Mar 2 19:29:01 domain systemd: Started Session 500679 of user root.
Mar 2 19:30:01 domain systemd: Created slice User Slice of admin.
Mar 2 19:30:01 domain systemd: Started Session 500681 of user admin.
Mar 2 19:30:01 domain systemd: Started Session 500680 of user root.
Mar 2 19:30:01 domain systemd: Started Session 500682 of user root.
Mar 2 19:30:01 domain systemd: Started Session 500683 of user admin.
Sunucunuz üzerindeki Apache Kayıtları
Sunucunuz üzerine kurmuş olduğunuz bir Apache veya benzeri yorumlayıcının kayıtları da /var/log dizini içerisinde yer almaktadır. Bu kayıtlar genel olarak /var/log/httpd klasörü içerisindedir. Ancak Nginx veya benzeri bir sistemde /var/log/ngix gibi farklı klasörlere de yazılabilir.
Nginx üzerinde yayın yaptığınız domain.com gibi internet sayfanızın hata mesajlarına ulaşmak için Linux terminalinde aşağıdaki komutu uygulayarak okuyabilirsiniz.
[root@domain log]# tailf var/log/nginx/domains/domain.com.error.log
2019/03/02 19:30:11 [crit] 19836#19836: *1323133 open() "/home/berq/web/domain.com/public_html/" failed (13: Permission denied), client: 63.143.xx.xxx, server: domain.com, request: "HEAD / HTTP/1.1", host: "
2019/03/02 19:30:11 [crit] 19836#19836: *1323133 open() "/home/berq/web/domain.com/public_html/" failed (13: Permission denied), client: 63.143.xx.xxx, server: domain.com, request: "HEAD / HTTP/1.1", host: "
Sunucunuz Üzerindeki Güvenlik Kayıtları
Sunucunuz üzerindeki hatalı giriş veya benzeri aktivitelere de bu dizinden ulaşarak bilgi alabilirsiniz /var/log/secure dosyasını bir editör ile açarak bu kayıtları görebilirsiniz.
[root@domain log]# tailf /var/log/secure
Mar 2 19:30:01 domain sudo: pam_unix(sudo:session): session closed for user root
Mar 2 19:30:02 domain sudo: pam_unix(sudo:session): session closed for user root
Mar 2 19:35:01 domain sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Mar 2 19:35:01 domain sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Sunucunuz üzerindeki kayıtlar genel olarak aşağıdaki arşivlenmektedir.
Log kayıtlarının arşivlenmesi
Log dosyaları bir süre sonra aşırı şekilde büyüyecek ve sisteminizde yer kaplayacaktır. Bu durumu önlemek ve sistemi daha rahat kontrol edebilmek için log dosyalarının arşivlenmesini tavsiye ederiz. Bu işleme log rotasyonu denilir. Arşivleme genel olarak /etc/logrotate.conf dosyası içerisinden belirlenir. Bu dosyanın içeriğini açtığınız zaman loglama döngüsünü “Daily”, “Weekly” veya “Monthly” şeklinde belirleyebilirsiniz. Log döngüsü varsayılan olarak Rotate 4 ile belirlenmiştir yani geriye yönelik 4 hafta log kayıtları tutulabilir. İhtiyacınıza göre bu döngüyü artırıp, azaltabilirsiniz. Bu döngü de arşivleme yapılarak (dosya sıkıştırması) saklanır.
Syslog sistemlerinin bir diğer özelliği de başka bir sisteme bu kayıtların aktarılabilmesidir. Bu sayede uzaktan log kayıtlarınıza erişebilir ve yönetim sağlayabilirsiniz. Klasik linux sistemlerde bu kayıtlar /etc/syslog.conf şeklinde ayarlanabilir. Ancak modern Linux sistemlerde SysLog’a yeni özellikler eklenerek rsyslogd servisi geliştirilmiştir.
Klasik Linux sistemlerde log kayıtları /var/log dizini altında tutulmaktadır. Bu dizin SysLog aracılığı ile ortak bir şekilde log kayıtların tutulduğu önemli bir dizindir.
SysLog Örnekleri
Sisteme Giriş Kayıtları
Sisteme en son hangi kullanıcının bağlantı sağladığı bilgisi /var/log/lastlog dosyası içeriğinde görüntülenebilir. Bu dosyayı tail veya nano gibi bir editörle açmaya kalkarsanız anlamsız karakterler karşınıza gelir. Bu dosya içeriğini okumak için Linux terminalde “Last” komutunu vermeniz yeterli olacaktır.
[root@domain log]# last
root pts/0 213.44.XX.XX Tue Sep 11 13:09 - 14:57 (01:47)
root pts/0 213.44.XX.XX Tue Sep 11 13:05 - 13:09 (00:03)
root pts/0 78.69.XX.XX Sat Sep 8 21:33 - 21:33 (00:00)
root pts/0 213.44.XX.XX Fri Sep 7 16:00 - 16:01 (00:00)
root pts/0 192.168.XX.XX Wed Aug 15 13:09 - 23:10 (3+10:00)
reboot system boot 3.x.x.x.x Wed Aug 15 13:08 - 01:30 (30+12:21)
Last komutunu terminalde çalıştırdığınız zaman yukarıdaki gibi bir çıktı karşınıza gelecektir. Bu çıktı üzerinde sisteme giriş yapan kullanıcıların hangi ip adresinden bağlandığı ile birlikte, tarih ve saat bilgisini de görebilirsiniz.
Sistem Üzerindeki Son Durum
Linux işletim sistemine ait olan tüm hareketler ve aktiviteler /var/log/messages log dosyası içerisinde yer almaktadır. Tailf veya Nano gibi bir editörle bu dosyayı açarak içeriğini okuyabilirsiniz.
[root@domain log]# tailf /var/log/messages
Mar 2 19:29:01 domain systemd: Started Session 500679 of user root.
Mar 2 19:30:01 domain systemd: Created slice User Slice of admin.
Mar 2 19:30:01 domain systemd: Started Session 500681 of user admin.
Mar 2 19:30:01 domain systemd: Started Session 500680 of user root.
Mar 2 19:30:01 domain systemd: Started Session 500682 of user root.
Mar 2 19:30:01 domain systemd: Started Session 500683 of user admin.
Sunucunuz üzerindeki Apache Kayıtları
Sunucunuz üzerine kurmuş olduğunuz bir Apache veya benzeri yorumlayıcının kayıtları da /var/log dizini içerisinde yer almaktadır. Bu kayıtlar genel olarak /var/log/httpd klasörü içerisindedir. Ancak Nginx veya benzeri bir sistemde /var/log/ngix gibi farklı klasörlere de yazılabilir.
Nginx üzerinde yayın yaptığınız domain.com gibi internet sayfanızın hata mesajlarına ulaşmak için Linux terminalinde aşağıdaki komutu uygulayarak okuyabilirsiniz.
[root@domain log]# tailf var/log/nginx/domains/domain.com.error.log
2019/03/02 19:30:11 [crit] 19836#19836: *1323133 open() "/home/berq/web/domain.com/public_html/" failed (13: Permission denied), client: 63.143.xx.xxx, server: domain.com, request: "HEAD / HTTP/1.1", host: "
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
", referrer: "
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
"2019/03/02 19:30:11 [crit] 19836#19836: *1323133 open() "/home/berq/web/domain.com/public_html/" failed (13: Permission denied), client: 63.143.xx.xxx, server: domain.com, request: "HEAD / HTTP/1.1", host: "
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
", referrer: "
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
"Sunucunuz Üzerindeki Güvenlik Kayıtları
Sunucunuz üzerindeki hatalı giriş veya benzeri aktivitelere de bu dizinden ulaşarak bilgi alabilirsiniz /var/log/secure dosyasını bir editör ile açarak bu kayıtları görebilirsiniz.
[root@domain log]# tailf /var/log/secure
Mar 2 19:30:01 domain sudo: pam_unix(sudo:session): session closed for user root
Mar 2 19:30:02 domain sudo: pam_unix(sudo:session): session closed for user root
Mar 2 19:35:01 domain sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Mar 2 19:35:01 domain sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Sunucunuz üzerindeki kayıtlar genel olarak aşağıdaki arşivlenmektedir.
Log kayıtlarının arşivlenmesi
Log dosyaları bir süre sonra aşırı şekilde büyüyecek ve sisteminizde yer kaplayacaktır. Bu durumu önlemek ve sistemi daha rahat kontrol edebilmek için log dosyalarının arşivlenmesini tavsiye ederiz. Bu işleme log rotasyonu denilir. Arşivleme genel olarak /etc/logrotate.conf dosyası içerisinden belirlenir. Bu dosyanın içeriğini açtığınız zaman loglama döngüsünü “Daily”, “Weekly” veya “Monthly” şeklinde belirleyebilirsiniz. Log döngüsü varsayılan olarak Rotate 4 ile belirlenmiştir yani geriye yönelik 4 hafta log kayıtları tutulabilir. İhtiyacınıza göre bu döngüyü artırıp, azaltabilirsiniz. Bu döngü de arşivleme yapılarak (dosya sıkıştırması) saklanır.