Log - Hiểu và tổng quan về hệ thống ghi log

I. Log là gì?

Log là một thành phần quan trọng trong hệ thống, ghi lại các thông báo về hoạt động của hệ thống hoặc các dịch vụ được triển khai trên nó. Thông qua các file log, chúng ta có thể tìm hiểu thông tin cần thiết để giải quyết các vấn đề mà chúng ta gặp phải.

Các file log có thể được đọc dễ dàng bằng các trình soạn thảo văn bản hoặc các trình xem văn bản thông thường. Thông thường, các file log được đặt trong thư mục /var/log, và mỗi ứng dụng được cài đặt trên hệ thống đều có log file riêng của mình.

Dưới đây là một số file log thông dụng trên /var/log:

• /var/log/messages: Ghi lại các thông báo hệ thống chung, bao gồm cả quá trình khởi động.
• /var/log/cron: Ghi lại các thông báo của cron daemon, bao gồm việc bắt đầu và dừng cron cũng như các cronjob thất bại.
• /var/log/maillog hoặc /var/log/mail.log: Ghi lại thông tin liên quan đến mail server.
• /var/log/wtmp: Ghi lại lịch sử đăng nhập và đăng xuất.
• /var/log/btmp: Ghi lại thông tin đăng nhập không thành công.
• /var/run/utmp: Ghi lại thông tin trạng thái đăng nhập hiện tại của người dùng.
• /var/log/dmesg: Chứa các thông điệp về kernel ring buffer.
• /var/log/secure: Lưu trữ các thông điệp an ninh liên quan, bao gồm thông điệp từ SSH daemon, mật khẩu thất bại, người dùng không tồn tại, và nhiều hơn nữa.

II. Tổng quan về Syslog

Syslog là một giao thức client/server được sử dụng để chuyển log và thông điệp đến máy chủ nhận log. Giao thức này có thể sử dụng UDP hoặc TCP và được sử dụng rộng rãi trên nhiều hệ điều hành.

Syslog được phát triển từ năm 1980 bởi Eric Allman, và ban đầu chỉ được sử dụng cho Sendmail. Tuy nhiên, nó đã trở thành một giải pháp log tiêu chuẩn trên môi trường Unix-Linux và được sử dụng trên nhiều thiết bị mạng như router.

Syslog đánh dấu mỗi thông điệp với mức độ nghiêm trọng và các loại phần mềm sinh ra thông điệp. Mức độ nghiêm trọng được chia thành 8 mức từ cao nhất là Emergency đến thấp nhất là Debug.

III. Log tập trung

Log tập trung là quá trình thu thập, phân tích và lưu trữ log từ nhiều nguồn khác nhau vào một máy chủ log duy nhất. Việc sử dụng log tập trung giúp quản trị viên có cái nhìn tổng quan về hệ thống và giúp phân tích sự cố một cách dễ dàng hơn.

Log tập trung giúp đảm bảo tính toàn vẹn, bảo mật và sẵn sàng của log trong quá trình phân tích và theo dõi hệ thống. Nó cũng giúp giảm thiểu nguồn nhân lực và tối ưu hóa quá trình phân tích log.

Tuy nhiên, log tập trung cũng có nhược điểm như nguy cơ quá tải máy chủ log và nguy cơ mất log nếu máy chủ bị hỏng. Nhưng với việc sử dụng các công nghệ và giải pháp hiệu quả, nhược điểm này có thể được giảm thiểu.

Hy vọng bài viết này đã giúp bạn hiểu và tổng quan về ghi log và log tập trung.