Команда log_mgr set предназначена для изменения настройки уровня протоколирования всех событий, не включенных в группы, уровня протоколирования группы событий, настройки syslog-клиента, задания группы событий и др.
Синтаксис
log_mgr [-T timeout] set –l log_level
log_mgr [-T timeout] set –e [msg_group_file [-f]]
log_mgr [-T timeout] save
log_mgr [-T timeout] set-syslog
[-y {enable|disable}] [-a syslog_ip]
[-f facility]
log_mgr [-T timeout] reset-syslog
-T timeout время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 600 секунд
-l log_level уровень протоколирования всех событий, не включенных в группы событий. Имеет одно из возможных значений:
emerg – аварийные сообщения
alert – тревожные сообщения
crit – критические сообщения
err – сообщения об ошибках
warning – предупреждения
notice – извещения
info – информационные сообщения
debug – отладочные сообщения.
–e msg_group_file путь до файла msg_grpXXX.ini, в котором можно задать группу событий и уровень протоколирования для нее
-f (force) указание этой опции разрешает изменять файл с группой событий. По умолчанию опция не задана и изменение файла не допускается
-y {enable|disable} включение/выключение протоколирования
-a syslog_ip IP-адрес хоста, на который будут отправляться сообщения (syslog-клиент)
-f facility источник сообщений (начальное значение: local7). Возможные значения: kern, user, mail, daemon, auth, syslog, lpr, news, uucp, cron, authpriv, ftp, ntp, audit, alert, cron2, local0, local1, local2, local3, local4, local5, local6, local7.
Значение по умолчанию Значение по умолчанию отсутствует.
Рекомендации по использованию
1. Задание общего уровня протоколирования всех событий, не включенных в группы событий с заданным уровнем, выполняется командой, например:
log_mgr set –l warning
2. Продукт поставляется с пятью предустановленными файлами, размещенными в каталоге /opt/VPNagent/etc, в которых указаны группы событий и уровень протоколирования для них. Эти файлы созданы для совместимости с продуктом S-Terra Gate версии 3.1:
· msg_grpLDAP.ini – задан уровень протоколирования и идентификаторы событий, связанных с доступом к LDAP-серверу
· msg_grpSYSTEM.ini – задан уровень протоколирования и идентификаторы системных событий
· msg_grpPOLICY.ini – задан уровень протоколирования и идентификаторы событий, связанных с применением политики безопасности
· msg_grpCERTS.ini – задан уровень протоколирования и идентификаторы событий, связанных с сертификатами
· msg_grpKERNEL.ini – задан уровень протоколирования и идентификаторы событий, связанных с правилами фильтрации.
Для выполнения протоколирования группы событий, указанных в файле с заданным уровнем, обязательно выполните команду (например, для LDAP):
log_mgr set –e /opt/VPNagent/etc/msg_grpLDAP.ini –f
Настройка сохраняется до перезапуска сервиса. После перезапуска сервиса протоколирование этих событий будет происходить по общему уровню логирования.
Если отредактировать файл msg_grpLDAP.ini (или не редактировать) и повторно запустить команду без опции –f, то будет выдано сообщение об ошибке.
3. Для сохранения изменений (даже после перезапуска сервиса) выполните команду:
log_mgr save
4. Для отмены всех установленных ранее уровней протоколирования для всех групп событий, выполните команду:
log_mgr set –e
Настройка сохраняется до перезапуска сервиса, для сохранения изменений выполните команду log_mgr save.
Создание файла с группами событий
Для создания файла с группой интересующих событий (сообщений), надо знать структуру этого файла и где взять список событий (сообщений). Опишем это далее.
Каждый такой файл должен состоять из секций вида:
[LOGLEVEL.<LEVEL>]
<MSG_ID1>
<MSG_ID2>
!........
где
<LEVEL> значение уровня лога для всех событий, перечисленных в группе
<MSG_ID> идентификатор события (сообщения)
!...... строка, начинающаяся с символа ‘!’, является комментарием. Допустимы пустые строки.
Таких секций в файле может быть несколько. Все события (сообщения) перечислены в файле /opt/VPNagent/etc/s_log.ini из состава продукта. Каждое событие в файле имеет два эквивалентных представления – текстовое и в виде индекса (8 шестнадцатеричных цифр), например,
[MSG_ID_PRODUCT_START]
INDEX = 0x03090001
Рекомендуется использовать текстовое представление, однако индекс может быть удобнее, если уже имеется файл, в котором сообщение содержит индекс.
Пример такого файла – “msg_groupDEMO1.ini”:
[LOGLEVEL.DEBUG]
! сообщение PRODUCT_START задано его индексом:
03090001
! сообщение PRODUCT_STOP задано его текстовым представлением:
PRODUCT_STOP
Каждое событие имеет свой уровень лога, указанный в файле /opt/VPNagent/etc/s_log.ini. Если в группу включены события с разными уровнями логирования, то для того, чтобы выполнялось протоколирование по всем этим событиям, проще всего указать для группы уровень лога debug.
Если необходимо изменить фиксированный уровень аудита, указанный в файле /opt/VPNagent/etc/s_log.ini, для отдельного события, можно создать файл типа msg_XXX.ini и задать в нем нужный уровень протоколирования.
Например, для изменения фиксированного уровня протоколирования сообщения MSG_ID_AUDIT_SHOW_NEW_LSP с INFO на ERR, создаем в директории /opt/VPNagent/etc файл msg_LSPSHOW.ini, содержащий строки:
[LOGLEVEL.ERR]
MSG_ID_AUDIT_SHOW_NEW_LSP
Далее выполняем команды:
log_mgr set -e /opt/VPNagent/etc/msg_LSPSHOW.ini
log_mgr save
5. Установка параметров syslog-клиента для сервиса vpnsvc. Установленные настройки Syslog-клиента будут записаны в файл /opt/VPNagent/etc/syslog.ini.
log_mgr set-syslog [-y {enable|disable}] [-a syslog_ip] [-f facility]
Например,
log_mgr set-syslog –y enable –a 10.0.0.1
Неуказанный в команде параметр остается неизменным.
6. Установка параметров по умолчанию для syslog-клиента:
log_mgr reset-syslog
при этом действуют следующие настройки:
enable
syslog_ip=127.0.0.1
facility=local7
При установке уровня протоколирования следует помнить, что самый высокий уровень детализации дает параметр 'debug', а самый низкий – 'emerg'.
Пример
Пример выполнения команды log_mgr set:
log_mgr set -l warning
Default log level is set successfully