syslog

Seite 1 von 1 - Forum: Linux and other OS auf overclockers.at

URL: https://www.overclockers.at/linux/syslog_203358/page_1 - zur Vollversion wechseln!

Hi,

ist das, was ein syslog-daemon mitschreibt, nur für mich, den Administrator, gedacht - oder greift das System auch auf geloggte Daten zu?

Diese Frage ist pauschal und allgemeingueltig nicht beantwortbar.

Bei weitem nicht alle Daten, die an syslog uebergeben werden, sind so sensitiv, dass sie nur der Super-User sehen duerfte. Trotzdem entscheiden sich viele Admins hier zu bewusster Geheimniskraemerei.

Manche Hosts lassen bestimmte Logfiles von Zusatzsoftware auswerten; beliebt ist z. B. webalizer (oder aehnliche Software) fuer Webserver-Logs. Da gibt es hunderte verschiedene Programme fuer unzaehlige verschiedene Dienste.

Wenn deine Frage eigentlich darauf abzielt, ob du die Inhalte von /var/log/ einfach loeschen kannst, ohne Probleme zu kriegen, ist die Antwort ein klares "Jein"
Wenn du naemlich eine Datei loescht/truncatest, auf die irgendein Prozess im System noch einen Filedeskriptor offen hat (bei Logfiles eigentlich immer der Fall, wenn der darin loggende Daemon laeuft), dann gibt das Dateisystem diesen Platz nicht gleich frei. Erst wenn der letzte Filedeskriptor auf das File geschlossen wird, werden die Aenderungen entsprechend committed.
Loeschen ist ueberhaupt problematisch, weil viele Daemons nicht unter EUID 0 laufen, und ein guter Teil (oft aufgrund mangelhafter Programmierung) die Filedeskriptoren auf ihre Logfiles auch nicht dann oeffnen, waehrend sie noch mit EUID 0 laufen. Das hat dann zur Folge, dass ihr normaler User vielleicht gar kein fopen() in /var/log/ ausfuehren darf (weil dort idR nur root schreiben darf), und dann gibt's entweder gar kein Log, oder einen sterben Daemon, der auch in keinem Logfile preisgeben kann, warum es ihn nicht freut. Catch-22 quasi.
Ein aehnlich unangenehmes Problem sind auch volle Dateisysteme fuer /var/log. Deswegen sollte man auf jedem Host das logrotate-Paket installiert haben, das sich - sofern korrekt konfiguriert (und das ist es bei den meisten Distributionen ab Werk) - automagisch um all diese Unschoenheiten kuemmert.

Es ist für mein Eco-Script für den Akkubetrieb. Ich möchte unter Umständen mit "/etc/init.d/syslog stop" den Daemon stoppen, um die HD-Zugriffe einzuschränken.

Wärs da nicht praktischer, in eine Ramdisk zu loggen?

Abgesehen davon wird das syslog sowieso gecached in der Festplatte, das wird ja nicht bei jeder message sofort runtergespielt. Und alle Festplattenzugriffe wirst du sowieso nicht los.

Alle nicht - so viel halt geht.
Auf die Idee gebracht hat mich das hier:

Zitat

Damit der Puffer der Platte (heutzutage meist 8 bis 16 Megabyte) nicht zu schnell voll wird, was in der Folge das Einschalten derselben zur Folge hätte, müssen natürlich möglichst alle I/O-intensiven Tätigkeiten (Cronjobs, Skripte etc.) vermieden resp. abgeschaltet werden. Besonders erwähnenswert ist hier der Syslog-Daemon. Dieser bietet die Möglichkeit des gepufferten Schreibens. Um dies zu aktivieren , muss im /etc/rsyslog.conf (das Ding heisst je nach Distribution etwas anders) vor jeden Eintrag ein “-” gesetzt werden.

"mich" = Akkusativ - "den Administrator".

Ich wuerde auf das Syslog (und auch den Daemon) nicht verzichten, zu keinem Zeitpunkt - auch nicht im Akkubetrieb, um noch zwei Minuten mehr herauszuquetschen.
Du koenntest dir Gedanken machen, auf welche Log-Informationen du verzichten koenntest (jede Syslog-Meldung hat eine bestimmte Severity, die du an verschiedenen Stellen auswerten und entsprechend -filtern kannst), und dann die entsprechenden Dienste so zu konfigurieren, dass nur noch wirklich wichtige Dinge geschrieben werden.

nach dem Motto "keep it simple" und "versuche nicht das Rad neu zu erfinden" werde ich doch auf die laptop-mode-tools zurückgreifen und es so herrichten, dass ich sie selbst starten und stoppen kann.

overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025