Dans le cadre de la journalisation du noyau, pourquoi ai-je trois niveaux de journalisation différents, non inclusifs, parmi les suivants /var/log/messages
, /var/log/syslog
et /var/log/kern.log
?
Réponses
Trop de publicités?Syslog est une installation de journalisation standard. Il collecte les messages de divers programmes et services, y compris le noyau, et les stocke, en fonction de la configuration, dans un ensemble de fichiers journaux, généralement sous le nom de /var/log
. Dans certaines configurations de centres de données, il y a des centaines de dispositifs, chacun ayant son propre journal ; syslog est également très utile ici. Il suffit de mettre en place un serveur syslog dédié qui collecte tous les journaux des appareils individuels sur le réseau. Syslog peut également enregistrer les journaux dans des bases de données et d'autres clients.
D'après mon /etc/syslog.conf
par défaut /var/log/kern.log
ne capture que les messages du noyau, quel que soit le niveau de journalisation, c'est-à-dire que la sortie de la commande dmesg
.
/var/log/messages
vise plutôt à stocker des messages précieux, non débogués et non critiques. Ce journal doit être considéré comme le journal de "l'activité générale du système".
/var/log/syslog
à son tour, enregistre tout, sauf les messages liés à l'authentification.
Les autres journaux standard intéressants gérés par syslog sont les suivants /var/log/auth.log
, /var/log/mail.log
.
Mise à jour 2020
Vous pouvez toujours tomber sur syslog, mais les valeurs par défaut ont changé.
journald
a remplacé syslog, dans une grande partie des systèmes, y compris Ubuntu.
C'est important parce que vous ne trouverez pas /var/log/messages
si souvent désormais. journald
n'écrit pas de journaux en clair - il utilise son propre format, compressé et partiellement authentifié.
Recherchez en ligne, par exemple cheatsheet journalctl ou simplement étudier man 8 systemd-journald
, man 1 journalctl
vous-même.
Syslog et journald sont, dans une certaine mesure, compatibles entre eux ; vous pouvez transporter les journaux entre eux dans les deux sens. Cependant, vous n'obtiendrez pas de journaux en texte clair à la manière de /var/log/messages
avec journald ; et vous n'obtiendrez pas d'informations structurées ( journalctl -o json-pretty
) et la journalisation authentifiée avec syslog.
- syslog contient tous les messages sauf ceux de type auth.
- ne contient que des messages génériques non critiques. La catégorie est
info
,notice
etwarn
- Pour le journal complet, voir
/var/log/syslog
et/var/log/auth.log
- AFAIK
/var/log/kern.log
contient des messages du noyau. - Les fichiers journaux sont juste une convention décrite dans /etc/syslog.conf.
- lire
syslog(3)
pour plus d'informations
Consultez cette page sur différences entre les messages et le syslog