Логи — это ценный инструмент для любого системного администратора или разработчика. Они позволяют отслеживать события, диагностировать ошибки и улучшать работу приложений. Правильное чтение логов помогает быстро выявлять и устранять проблемы, повышая надежность и безопасность систем. В этой статье мы подробно рассмотрим, где хранятся логи в операционных системах Windows и Linux, как их читать и использовать для оптимизации работы.
Что такое логи и зачем они нужны
Лог — это файл, в который система или приложение записывают информацию о событиях, происходящих во время их работы. Журнал сервера (server log) содержит записи о различных аспектах функционирования сервера: от успешных операций до критических ошибок.
Основные причины использовать логи:
- Диагностика ошибок. Быстрое обнаружение и устранение сбоев.
- Мониторинг безопасности. Отслеживание несанкционированного доступа и подозрительной активности.
- Анализ производительности. Оптимизация ресурсов и улучшение отклика системы.
- Аудит действий. Контроль изменений и действий пользователей.
Где хранятся логи в системах Windows и Linux
Windows
В Windows логи хранятся в «Просмотре событий». Это встроенная утилита, которая собирает и отображает системные и события приложения.
Как открыть «Просмотр событий»:
- Нажмите Win + R и введите eventvwr.msc, нажмите Enter.
- В открывшемся окне вы увидите разделы:
- Журналы Windows: включает в себя системные, приложенческие, установочные и другие логи.
- Журналы приложений и сервисов: специфические логи для отдельных приложений.
Где хранятся файлы логов. Логи Windows сохраняются в файлах с расширением .evtx и находятся по пути:
C:\Windows\System32\winevt\Logs\Linux
В Linux системные логи обычно находятся в каталоге /var/log/. Этот каталог содержит множество файлов логов для различных системных компонентов и приложений.
Основные файлы логов:
- /var/log/syslog или /var/log/messages: общесистемные сообщения.
- /var/log/auth.log: события аутентификации и безопасности.
- /var/log/kern.log: сообщения ядра системы.
- /var/log/dmesg: информация о загрузке системы и аппаратных компонентах.
- /var/log/apache2/: логи веб-сервера Apache.
Где хранятся логи Nginx
Чтение логов и их анализ
Windows
Использование «Просмотра событий»:
- В «Просмотре событий» выберите нужный журнал в левой панели.
- В центральной панели отобразятся события с деталями: дата и время, источник, уровень (информация, предупреждение, ошибка).
- Двойным щелчком по событию откройте подробную информацию.
Поиск и фильтрация:
- Используйте функцию «Фильтр текущего журнала» для отображения только необходимых событий.
- Можно фильтровать по ключевым словам, уровням и источникам событий.
Чтение логов в Linux
Командная строка. Просмотр последних строк лога:
tail -n 100 /var/log/syslogРеальное время обновления:
tail -f /var/log/syslogПоиск по ключевому слову:
grep "ошибка" /var/log/syslogИспользование специальных приложений:
less: удобный просмотр больших файлов.
less /var/log/sysloglogwatch: утилита для анализа и создания отчетов по логам.
logwatch --detail High --mailto admin@example.com --service all --range todayПримеры использования логов для решения проблем
Пример 1. Устранение ошибки приложения в Linux
Ситуация. Веб-приложение на сервере перестало отвечать.
Действия. Проверить лог веб-сервера:
tail -n 50 /var/log/apache2/error.log- Найти строки с ошибками и обратить внимание на время события.
Если ошибка связана с базой данных, проверить лог базы:
tail -n 50 /var/log/mysql/error.log- По полученной информации принять меры: перезапустить сервис, исправить конфигурацию или обратиться к разработчикам.
Пример 2. Обнаружение несанкционированного доступа в Windows
Ситуация. Подозрение на взлом учётной записи.
Действия:
- В «Просмотре событий» открыть «Журналы Windows» → Безопасность.
- Фильтровать события по ID 4625 (неудачная попытка входа).
- Проанализировать время и частоту попыток, IP-адреса.
- При необходимости изменить пароли, настроить политику блокировки и уведомить службу безопасности.
Особенности настройки журналов сервера
Настройка логирования в Linux с помощью syslog
syslog — это системный сервис для обработки и хранения логов.
Конфигурационный файл:
- /etc/rsyslog.conf: основной файл настроек rsyslog.
Настройка уровня логирования:
- Измените уровень логирования для определенных сервисов.
Например, чтобы записывать только ошибки:
*.err /var/log/errors.logУдалённое логирование. Настройте отправку логов на удаленный сервер для централизованного хранения.
*.* @logserver.example.com:514Настройка логирования в приложениях
- Уровни логирования: DEBUG, INFO, WARNING, ERROR, CRITICAL.
- Формат логов. Настройте формат записи для удобства чтения и анализа.
- Ротация логов. Используйте утилиты вроде logrotate для автоматического архивирования и удаления старых логов.
Инструменты для просмотра и анализа логов
Windows
- Event Log Explorer — расширенная замена стандартному «Просмотру событий», предоставляющая больше возможностей для поиска, фильтрации и анализа журналов Windows.
- Microsoft Log Parser — утилита для анализа логов с помощью SQL-подобных запросов, позволяющая быстро извлекать нужные данные из большого объёма журналов.
Linux
- GoAccess — интерактивный инструмент для анализа веб-логов в реальном времени, который отображает статистику по трафику, запросам и ошибкам прямо в терминале или веб-интерфейсе.
- Graylog и ELK Stack (Elasticsearch, Logstash, Kibana) — системы для централизованного сбора, хранения и визуализации логов, позволяющие анализировать события, отслеживать аномалии и повышать безопасность инфраструктуры.
- journald — системный журнал в дистрибутивах с systemd, сохраняющий структурированные логи и поддерживающий удобный поиск по параметрам.
Советы по эффективному использованию логов
- Регулярный мониторинг. Настройте оповещения при появлении критических ошибок.
- Автоматизация. Используйте скрипты и инструменты для автоматического анализа и отчётов.
- Безопасность. Ограничьте доступ к логам, так как они могут содержать конфиденциальную информацию.
- Оптимизация хранения. Следите за размером логов, чтобы избежать заполнения диска.
Заключение
Логи являются неотъемлемой частью системного администрирования и разработки. Понимание того, где хранятся логи и как их читать, позволяет эффективно решать проблемы, улучшать работу приложений и обеспечивать безопасность систем. Используйте предоставленную информацию и инструменты для углубленного анализа и оптимизации вашей инфраструктуры.
Читайте в блоге:
- Где хранятся логи Nginx
- Как установить и настроить веб-сервер Nginx на Ubuntu
- Шесть способов узнать версию Nginx
To access the Event Viewer in Windows 8.1, Windows 10, and Server 2012 R2: Right click on the Start button and select Control Panel > System & Security and double-click Administrative tools.Double-click Event Viewer.Select the type of logs that you wish to review (ex: Application, System)
Besides,how do i check windows system logs?
Open “Event Viewer” by clicking the “Start” button. Click “Control Panel” > “System and Security” > “Administrative Tools”, and then double-click “Event Viewer” Click to expand “Windows Logs” in the left pane, and then select “Application”.
Beside above,how do i check system logs? Start > Control Panel > System and Security > Administrative Tools > Event Viewer. In event viewer select the type of log that you want to review. Windows stores five types of event logs: application, security, setup, system and forwarded events.
Similarly one may ask,where is the system log file?
By default, Event Viewer log files use the . evt extension and are located in the %SystemRoot%\System32\Config folder. Log file name and location information is stored in the registry.
Where are Windows 10 system logs stored?
Windows stores event logs in the C:\WINDOWS\system32\config\ folder. Application events relate to incidents with the software installed on the local computer.
Things to consider
Below are some things to consider when trying to figure out how to check system logs windows 10.
How to show System Event Log
What is the system log?
The system log (SYSLOG) is a direct access data set that stores messages and commands. It resides in the primary job entry subsystem’s spool space. It can be used by application and system programmers (through the WTL macro) to record communications about programs and system functions.
How do I check syslog? Issue the command var/log/syslog to view everything under the syslog, but zooming in on a specific issue will take a while, since this file tends to be long. You can use Shift+G to get to the end of the file, denoted by “END.” You can also view logs via dmesg, which prints the kernel ring buffer.
How do I view command prompt logs?
Perform the following steps to run and view a System Log report from the command line:
- Open a command window.
- Change directories to the default Waveset installation directory.
- At the prompt, type the lh syslog [ options ] command. Use these options to include or exclude information:
What are Windows log files? What Are Windows Log Files? Windows log files, sometimes referred to as “Win log files” and saved with the file extension “. log,” are system information files produced by Windows and other applications to record notable system operations and significant errors encountered by Windows or a program.
Where are logs for Windows services?
In the left pane, expand Windows Logs and then System. You can filter the logs with Filter Current Log from the Actions pane on the right and selecting “Service Control Manager.” Or, depending on why you want this information, you might just need to look through the Error entries.
What are logs in Windows? Logs are records of events that happen in your computer, either by a person or by a running process. They help you track what happened and troubleshoot problems. The Windows event log contains logs from the operating system and applications such as SQL Server or Internet Information Services (IIS).
How to use Event Viewer to fix your Windows 10 computer
How do I view log files?
Android (Exact steps may differ slightly)
- Launch your favorite file explorer.
- Navigate to Internal storage\android\data\io. lbry. browser->files\lbrynet .
- Here you will see the lbrynet. log file and any archives.
Where are RDP logs stored? This log is located in “Applications and Services Logs -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager > Operational”.
How to Clear Event Logs in Windows 10 [Tutorial]
How do I open the control log?
Windows versions with the Start menu: Choose Start menu > Control Panel > Administrative Tools > Event Viewer. Select the Application log. Windows versions with the Start screen: Open Search, then type eventvwr.mc to find the Event Viewer. Double-click it.
How do you read event logs? To open Event Viewer in any version of Windows, go to Control Panel and change the view to Large or Small icons if the view is not already set that way. Click on the icon for Administrative Tools. From the Administrative Tools screen, double-click on the shortcut for Event Viewer. The Event Viewer window pops up.
How do I check computer history?
Use Windows Event Viewer to Check Computer Events
- Press the Windows key on your keyboard – the Windows symbol is found in the bottom-left corner of most keyboards, between the CTRL and ALT keys.
- Type Event – this will highlight Event Viewer in the search box.
- Press the Enter key to launch Event Viewer.
What is a system log why it is used? Answer: A system log is a file containing events that are updated by the operating system components.It may contain information such as device drivers,events,operations or even device changes. A system log is used to. 1. detect and solve the problems found in the computer.
What is the difference between security logs and system logs?
System log—events logged by the operating system. For example, issues experienced by drivers during the startup process. Security log—events related to security, including login attempts or file deletion. Administrators determine which events to enter into their security log, according to their audit policy.
How do I view SAP logs? System log can be checked using SM21 transaction code. Login to SAP system and goto SM21 which results in the similar screen as below: As shown in the above screen, we can mention From date/time and To date/time and we can view system log based on problem classes.
Where are syslog logs?
/var/log/syslog and /var/log/messages store all global system activity data, including startup messages. Debian-based systems like Ubuntu store this in /var/log/syslog , while Red Hat-based systems like RHEL or CentOS use /var/log/messages .
How do I view syslog in Windows? To view the security log In the console tree, expand Windows Logs, and then click Security. The results pane lists individual security events. If you want to see more details about a specific event, in the results pane, click the event.
What is var log syslog?
msc) You can use Event Viewer (Eventvwr. msc) to view logs that can help you to identify system problems when you are able to start the system in safe or normal mode. Application logs The Application log contains events logged by applications or programs.
The Windows Event Viewer shows a log of application and system messages, including errors, information messages, and warnings. It’s a useful tool for troubleshooting all kinds of different Windows problems.
A question that is typically raised during and post breach investigation is what event logs should be monitored, collected or enabled. The below list aims to provide a cheat sheet of sorts to highlight the common logs that contain forensic evidence and that often can be ingested into a central point, such as a SIEM, to provide contextual information for alerting.
Windows Event Logging
Windows event logs are a useful tool in incident response and digital forensics because they provide a record of events that have occurred on a system. These events can include system-level events such as startup and shutdown, as well as application and service-level events. Examining these logs can help identify potential security incidents, troubleshoot issues, and provide evidence for forensic investigations.
| Log File | File Path | Description |
|---|---|---|
| Security | %SystemRoot%\System32\Winevt\Logs\Security.evtx | Contains information about security-related events, such as successful and failed login attempts, access to sensitive resources, and changes to security settings. |
| Application | %SystemRoot%\System32\Winevt\Logs\Application.evtx | Contains information about events related to applications, such as errors and warnings. |
| System | %SystemRoot%\System32\Winevt\Logs\System.evtx | Contains information about events related to the operating system, such as hardware and software failures, resource utilization, and system updates. |
| DNS Server | %SystemRoot%\System32\Dns\Dns.log | Contains information about Domain Name System (DNS) activity, such as requests and responses. |
| File Replication Service | %SystemRoot%\debug\Frs\FrsDiag.log | Contains information about the File Replication Service (FRS), which is used to replicate files and folders between domain controllers. |
| Internet Information Services (IIS) | %SystemRoot%\System32\LogFiles\W3SVC1\ | Contains information about web server activity, such as requests, responses, and errors. This folder contains multiple log files, including an exYYMMDD.log file for each day, a u_exYYMMDD.log file for each day that contains log data in a different format, and a W3SVC1 folder that contains additional log files. |
| PowerShell | %SystemRoot%\System32\Winevt\Logs\Windows PowerShell.evtx | Contains information about PowerShell activity, such as script execution and cmdlet usage. |
| Windows PowerShell Operational | %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx | Contains information about the operational state of PowerShell, such as start and stop events and errors. |
| Remote Desktop Services | %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx | Contains information about Remote Desktop Services activity, including Remote Desktop Protocol (RDP) connections and disconnections. |
| Windows Management Instrumentation | %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-WMI-Activity%4Operational.evtx | Contains information about WMI activity, including WMI queries and method calls. |
| Windows Management Instrumentation Provider Operations | %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-WMI-Operational.evtx | Contains information about the operational state of WMI providers, including start and stop events and errors. |
| Windows Defender log | C:\Windows\System32\Winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx | Contains events related to the Windows Defender antivirus software. |
Unix/Linux Event Logging
Linux event logs are a useful tool in incident response and digital forensics because they provide a record of events that have occurred on a system. These events can include system-level events such as startup and shutdown, as well as application and service-level events. Examining these logs can help identify potential security incidents, troubleshoot issues, and provide evidence for forensic investigations.
MacOS Event Logging
MacOS event logs are a useful tool in incident response and digital forensics because they provide a record of events that have occurred on a system. These events can include system-level events such as startup and shutdown, as well as application and service-level events. Examining these logs can help identify potential security incidents, troubleshoot issues, and provide evidence for forensic investigations.
| Log File | File Path | Description |
|---|---|---|
| System log | /private/var/log/system.log | Contains events related to system components such as drivers, the kernel, and the startup process. |
| Secure log | /private/var/log/secure.log | Contains events related to security-related activities such as login and logout events, as well as successful and failed attempts to access resources. |
| Application Firewall log | /private/var/log/appfirewall.log | Contains events related to applications and services running on the system, including events related to the macOS firewall. |
| Setup log | /private/var/log/install.log | Contains events related to the installation, removal, and update of software on the system. |
| Safari log | /private/var/log/safari/Safari.log | Contains events related to the Safari browser. |
| MacOS Server log | /Library/Logs/DiagnosticReports | Contains events related to MacOS Server. |
References
- Microsoft documentation on Windows event logs
- SANS Institute’s guide on using Windows event logs in incident response
- Digital Forensics Solutions’ blog post on using Windows event logs in forensic investigations
- Tripwire’s blog post on using Windows event logs to detect security breaches
- TechNet’s guide on using the Event Viewer utility in Windows
- Digital Forensics Solutions’ blog post on using Linux logs in forensic investigations
- SANS Institute’s guide on using Linux logs in incident response
- Apple’s documentation on MacOS logs
- TechRepublic’s tutorial on using the Console application in MacOS
This post is licensed under CC BY 4.0 by the author.
АрхивСистема
Пользователи ADSL-модемов, подключаемых по LAN, нередко задаются вопросом: как организовать ведение и хранение лога его действий?
Пользователи ADSL-модемов, подключаемых по LAN, нередко задаются вопросом: как организовать ведение и хранение в компьютере лога его действий? Сейчас мы при помощи SysLog решим эту проблему…
Большинство ADSL-модемов, подключаемых через LAN (сетевую карту, а не USB), могут отсылать по сети записи в лог. Записи отсылаются по стандарту SysLog, то есть UDP-пакетом на 514 порт и IP-адрес, указанный в настройках модема для Remote Log. У большинства компьютерщиков SysLog прочно ассоциируется с «Линуксом», но, тем не менее, существуют аналогичные программы для приема SysLog-сообщений и в Windows. Среди них:
Kiwi Syslog Daemon. Достаточно серьезная и многофункциональная программа. Может интеллектуально обрабатывать полученные сообщения UDP-SysLog, TCP-SysLog, SNMP-Traps и предпринимать какие-либо действия в зависимости от полученных сообщений, например, уведомлять по электронной почте о возникших проблемах. Однако, для рядовых пользователей ADSL LAN, очевидно, это все излишне, и мы ограничимся лишь упоминанием о существовании Kiwi Syslog Daemon.
SL4NT. Маленькая и примитивная программа. Для домашнего использования в большинстве случаев ее вполне хватит. Ее мы и будем сейчас устанавливать. Сразу отметим, что с Windows 9x/ME она не работает.
Итак, скачиваем SL4NT и инсталлируем приложение вручную, как описано в файле readme.txt: надо скопировать файлы sl4nt.exe и sl4nt.cpl в директорию C:\WINDOWS\SYSTEM32, а затем в командной строке набрать sl4nt -i.
Отлично. Теперь следуем в «Панель управления», обнаруживаем там новый значок SysLog и запускаем его.
Настроек не так много. Рекомендуем только выбрать, куда записывать полученные сообщения: в системный лог Windows и/или в файл. Остановимся также на опции Resolve IP address of originating host to its name — ее включение приведет к тому, что в логе будет записываться имя хоста (компьютера), отправившего SysLog-сообщение, но в общем случае для домашнего пользователя эта настройка не сможет узнать имя отправителя-модема, да и смысла нет, ибо дома и так очевидно, что кроме модема отправить SysLog-сообщение было некому. Потому лучше ее отключить.
Теперь заглянем в меню Filter Settings.
Здесь указываются типы устройств — авторов сообщений, от которых сообщения будут приниматься. Пусть будут разрешены все. Опция Minimal Priority отвечает за уровень важности сообщения, ниже которого не принимать: Debug — минимальный уровень, будут приниматься все сообщения, в том числе и отладочные; Emergency — будут приниматься сообщения только высшей важности. Вначале рекомендую поставить Debug, а потом при необходимости, понаблюдать, какие уровни важности ваш модем присваивает своим сообщениям.
Теперь, убедитесь что в брандмауэре для SL4NT.EXE разрешены входящие UDP-пакеты на 514 порт, и укажите в настройках ADSL-модема передачу лога на IP-адрес вашего компьютера. Например, для D-Link DSL500T это делается в его веб-интерфейсе в «Tools -> Remote Log». Все готово, теперь можно ждать сообщений…
На этом закончим. Напомним лишь, что системный лог операционной системы Windows, куда пишутся SysLog-сообщения, находится в меню «Панель Управления -> Администрирование -> Просмотр Событий» в ветке «Приложения» от источника SysLog.
Логи — это важно. Если устройств много, в целях удобства и резервного копирования хорошим решением является создание некоего log-сервера, на который серверы и оборудование будут свои логи по сети пересылать.
Далее речь пойдет о задаче сбора syslog-сообщений от unix-серверов и активного оборудования (cisco ios) на windows-сервере. В процессе разработки решения были найдены два opensource-продукта — syslog for windows и nxlog. Первый более прост в освоении и подходит для случаев, когда источников или немного, или не стоит задачи сортировки входящих сообщений. Второй продукт более «развесист», при его развертывании не обойтись без чтения документации, однако эта «развестистость» дает очевидно большую гибкость в решении задач сбора и сортировки входящих логов.
Теперь чуть более подробно.
Syslog for windows — это форк классического unix-демона syslog. Собранный для работы в Windows, умеет регистрироваться и работать как системная служба (конечно, возможен и «ручной» запуск). Также имеется возможность работы в режиме «multi-instance» — регистрируются несколько служб с уникальными названиями. Документация по настройке довольно куцая, однако ее вполне достаточно для написания собственного конфиг-файла, ибо софт написан под выполнение конкретной задачи сбора и хранения логов и умеет только это. Но умеет хорошо.
Для тех, кто знаком с внешниим видом юниксового syslog.conf, многое покажется знакомым — разница лишь в том, что все они пишутся в xml-«обертке». Логика файла проста — в простейшем случае должны быть описаны три сущности: источник (source), назначение (destination) и путь (logpath). У каждой из сущностей есть свой набор настроек, с помощью которых задается их поведение.
Для решения задачи сортировки входящих логов должна быть определена директива filter, работа которой основана на понятиях facility и priority. У каждого отправляемого удаленным syslog-сервером сообщения определен уровень того и другого: facility может иметь численное значение в диапазоне 0..23 или буквенное kern…debug (полный список смотрим в документации); prority, аналогично, задается или численно в диапазоне 0..7, или буквенно — emerg..debug. Таким образом, общая идея сортировки входящих сообщений — группировка по источнику (используем разные уровни facility для разных устройств) или по важности сообщений (по уровню proirity). Количество описанных фильтров и назначений не ограничено (разве что уровней facility всего 24, а удобных для работы уровней local — и того меньше, 8), главное, чтобы в каждом logpath было по одному того и другого.
В итоге может получиться такой кофигурационный файл:
<?xml version="1.0"?> <!-- syslog.conf Configuration file for syslogd. Based on Debian's syslog.conf. --> <conf> <options logdir="log"/> <source name="src_udp_0" type="udp" port="514"/> <source name="src_udp_1" type="udp" port="515"/> <!-- cisco switches --> <destination name="cisco_switches" file="cisco_switches.log" rotate="monthly" backlogs="12"/> <filter name="cisco_switches"> <facility name="local3"/> <priority name="emerg"/> <priority name="alert"/> <priority name="crit"/> <priority name="error"/> <priority name="warning"/> <priority name="notice"/> <priority name="info"/> <priority name="debug"/> </filter> <logpath source="src_udp_0" filter="cisco_switches" destination="cisco_switches"/> <!-- cisco inet routers --> <destination name="inet_routers" file="inet_routers.log" rotate="monthly" backlogs="12"/> <filter name="inet_routers"> <facility name="local4"/> <priority name="emerg"/> <priority name="alert"/> <priority name="crit"/> <priority name="error"/> <priority name="warning"/> <priority name="notice"/> <priority name="info"/> <priority name="debug"/> </filter> <logpath source="src_udp_0" filter="inet_routers" destination="inet_routers"/> <!-- linux firewalls --> <destination name="linux_fw" file="linux_fw.log" rotate="daily" backlogs="30"/> <filter name="linux_fw"> <facility name="local1"/> <priority name="emerg"/> <priority name="alert"/> <priority name="crit"/> <priority name="error"/> <priority name="warning"/> <priority name="notice"/> <priority name="info"/> <priority name="debug"/> </filter> <logpath source="src_udp_1" filter="linux_fw" destination="linux_fw"/> <!-- linux servers --> <destination name="linux_srv" file="linux_srv.log" rotate="weekly" backlogs="10"/> <filter name="linux_wrk"> <facility name="local2"/> <priority name="emerg"/> <priority name="alert"/> <priority name="crit"/> <priority name="error"/> <priority name="warning"/> <priority name="notice"/> <priority name="info"/> <priority name="debug"/> </filter> <logpath source="src_udp_1" filter="linux_srv" destination="linux_srv"/> <!--Сборная солянка - все логи за текущий день--> <destination name="default" file="default.log" rotate="daily" backlogs="7"/> <destination name="default1" file="default1.log" rotate="daily" backlogs="7"/> <filter name="default"> <facility name="kern"/> <facility name="user"/> <facility name="mail"/> <facility name="daemon"/> <facility name="syslog"/> <facility name="lpr"/> <facility name="news"/> <facility name="uucp"/> <facility name="cron"/> <facility name="ftp"/> <facility name="local0"/> <facility name="local1"/> <facility name="local2"/> <facility name="local3"/> <facility name="local4"/> <facility name="local5"/> <facility name="local6"/> <facility name="local7"/> <priority name="emerg"/> <priority name="alert"/> <priority name="crit"/> <priority name="error"/> <priority name="warning"/> <priority name="notice"/> <priority name="info"/> <priority name="debug"/> </filter> <logpath source="src_udp_0" filter="default" destination="default"/> <logpath source="src_udp_1" filter="default" destination="default1"/>
Пара пояснений по ходу. С таким конфиг-файлом мы можем запустить две службы syslogd:
syslogd —install —instance cisco
syslogd —install —instance linux
одна из них зарегистрируется как syslogd_cisco и будет слушать 514/udp, другая — как syslogd_linux на порту 515/udp.
Входящие сообщения с удаленных syslog-серверов (настроенных на передачу данных на заданный сервер) пишутся в разные файлы согласно назначенным уровням facility. Опцией logdir мы задаем каталог хранения логов. В данном случае указан относительный (от места установки syslogd) путь, однако можно указывать и абсолютный.
Прямо в описании destination можно задать и опции ротации — с какой периодичностью и глубиной хранить историю (filename переименовывается в filename.1 и так далее до величины backlogs).
Помимо этого, все сообщения (включая те, что не попали ни в один из фильтров) записываются в общие log-файлы default.log и default1.log.
Практическая эксплуатация показала надежность этого решения — службы работают стабильно, друг дружке не мешают, никаких подвисаний себе не позволяют. Однако стоит помнить, что при наличии проблем в сети, связанных как с загруженностью каналов, настройкой коммутаторов или с иными причинами, данные могут быть не доставлены — протокол udp не гарантирует доставку пакетов.