（六）qmail的日志和管理[3]

Syslog已被许多日志函数采纳，它用在许多保护措施中--任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。 
Syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog信息被写到/var/adm或/var/log目录下的信息文件（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日之中出现）。 
每个syslog消息被赋予下面的主要设备之一（表12）： 
--------------------------------------------------------------------------
LOG_AUTH--认证系统：login、su、getty等 
LOG_AUTHPRIV--同LOG_AUTH，但只登录到所选择的单个用户可读的文件中 
LOG_CRON--cron守护进程 
LOG_DAEMON--其他系统守护进程，如routed 
LOG_FTP--文件传输协议：ftpd、tftpd 
LOG_KERN--内核产生的消息 
LOG_LPR--系统打印机缓冲池：lpr、lpd 
LOG_MAIL--电子邮件系统 
LOG_NEWS--网络新闻系统 
LOG_SYSLOG--由syslogd（8）产生的内部消息 
LOG_USER--随机用户进程产生的消息 
LOG_UUCP--UUCP子系统 
LOG_LOCAL0~LOG_LOCAL7--为本地使用保留 
-------------------------------------------------------------------------------
Syslog为每个事件赋予几个不同的优先级（表13）： 
------------------------------------------------------------------------------
LOG_EMERG--紧急情况 
LOG_ALERT--应该被立即改正的问题，如系统数据库破坏 
LOG_CRIT--重要情况，如硬盘错误 
LOG_ERR--错误 
LOG_WARNING--警告信息 
LOG_NOTICE--不是错误情况，但是可能需要处理 
LOG_INFO--情报信息 
LOG_DEBUG--包含情报的信息，通常旨在调试一个程序时使用 
------------------------------------------------------------------------------
   syslog.conf文件指明syslogd程序纪录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时，syslogd将纪录一个拥有相同或更高优先级的消息。所以如果指明"crit"，那所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。 
    例如，如果想把所有邮件消息纪录到一个文件中，如下（表14）： 
------------------------------------------------------------------------------
#Log all the mail messages in one place 
mail.* /var/log/maillog 

    其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为"err"或更高。例如： 

# Save mail and news errors of level err and higher in aspecial file. 
uucp,news.crit /var/log/spooler 

    当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。 

#Everybody gets emergency messages， plus log them on anther machine 
*.emerg * 
*.emerg @linuxaid.com.cn 

    alert消息应该写到root和tiger的个人账号中： 

#Root and Tiger get alert and higher messages 
*.alert root,tiger 

    有时syslogd将产生大量的消息。例如内核（"kern"设备）可能很冗长。用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了： 

#Log all kernel messages to the console 
#Logging much else clutters up the screen 
#kern.* /dev/console 

    用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备： 

#Log anything（except mail）of level info or higher 
#Don\'t log private authentication messages! 
*.info:mail.none;authpriv.none /var/log/messages 
-----------------------------------------------------------------------------
    在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。 

    有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。用法：logger 例如：logger This is a test！ 

    它将产生一个如下的syslog纪录：Aug 19 22:22:34 tiger: This is a test! 

    注意不要完全相信日志，因为攻击者很容易修改它的。 
6.1.4 程序日志
    许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog。同样的还有sudolog。另外，象Apache有两个日志：access_log和error_log。 
   这里用了大量的篇章来说了系统日志，是必要的。如果不能保证主机的安全，也谈不上服务了。下面，我们将详细讲一下mail日志。

6.2.1 qmail的替代日志程序
   长久以来，针对标准的syslogd程序的效率，已经有很多争议了。一个消息发送给syslogd，病不能保证消息被真正的写道日志中，另外，他的写的速度并不快。
下面是slogger遵循的几个条件：
1、 每一条消息都有时间戳，时间戳被附加到消息中。
2、 每一条消息都要对关键字aler：或者warning:进行检查。如果其中有一个出现了，就为消息选定一个适当的优先级水平。
3、 消息中的不可打印的字符被转换成问号（？）。
4、 不记录空白行。
5、 超过800个字符的消息被分割成800个字符的多行消息。分割的行在时间戳后用一个加号标识。
   针对以上，qmail的创始人dan bernstein开发了splogger程序，它包含在qmail软件包中。
用它来替代系统的syslog.是用splogger程序作为日志程序，将qmail记录重新定向给splogger程序，在将记录转发给linux的syslog程序。Mail日志的位置取决于/etc/syslog.conf文件设定的值，在上面我们详细将过了怎样设置。

6.2.2 读qmail日志
   一旦消息被记录，就应该监控记录以发现问题。下面看一个qmail的mail日志文件（表15）：