Brainscape's Knowledge GenomeTM


Top Flashcards (Certified)
All Flashcards

LPIC > logging > Flashcards

logging Flashcards

1
Q

Welche logging daemons gibt es?

A

syslogd
syslog-ng
rsyslog
journald

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Wo liegt das config file für rsyslog ?

A

/etc/rsyslog.conf
oder
/etc/rsyslog.d/

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Für was ist das Verzeichnis…
/var/spool/rsyslog/ ?

A

rsyslog verwendet dieses Verzeichnis normalerweise als Zwischenspeicher für Protokolle, bevor sie an ihre endgültigen Ziele weitergeleitet werden.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

in welches Verzeichnis werden normalerweise logs geschrieben ?

A

/var/log/
da es sich um variable Daten handelt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Was zeigen die Logs…

/var/log/wtmp

und wie werden sie abgefragt ?

A

Erfolgreiche Anmeldungen.
Log im Binärformat.
wird mit who wtmp abgefragt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

was zeigt das Log…
/var/log/btmp
und wie wird es abgefragt ?

A

Fehlgeschlagene Anmeldeversuche, z.B. Brute-Force-Angriffe über ssh.
Log im Binärformat.
wird mit utmpdump oder last -f abgefragt

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Was zeigt das Log..
/var/log/faillog
und wie wird es abgefragt ?

A

Fehlgeschlagene Authentifizierungsversuche.
Log im Binärformat.
wird mit faillog -a abgefragt

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Wie werden Logs erzeugt ?

A

Anwendungen/Dienste/Kernel schreiben Nachrichten in spezielle Dateien.
z.B. /dev/log oder /dev/kmsg.

rsyslogd holt die Informationen aus den Sockets oder Speicherpuffern.

Abhängig von den Regeln in /etc/rsyslog.conf
verschiebt rsyslogd die Informationen in die entsprechende Protokolldatei, normalerweise /var/log.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

In welchen 3 Sectionen ist rsyslog.conf unterteilt ?

A

Modules
Global Directives
Rules

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

In welcher Section wird das senden, bzw empfangen von Logs definiert, falls die Logs auf einen entfernten Server geschickt werden ?

A

Modules

Server config

provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
	
provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514


Client config

*.* @@suseserver:514
oder
*.* @@192.168.0.1:514


@ steht für UDP
@@ steht für TCP

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Wie lautet die syntax für die Regeln ?

A

facility.priority.action

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Wie lauten die einzelnen Warnstufen der priority ?

A

0 emerg,panic (System ist unbrauchbar)
1 alert (Sofortige Maßnahmen erforderlich)
2 crit (Kritischer Zustand)
3 err, error (Fehlerzustand)
4 warn,warning (Warnung)
5 notice (Normaler aber signifikanter Zustand)
6 info (Information)
7 debug (Debug-Level-Meldungen)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Erkläre…
*.*;auth,authpriv.none -/var/log/syslog

A

Alle Facilities (*) - außer ;auth,authpriv.none
und jede Priorität (.*) und somit alle Meldungen
gehen nach /var/log/syslog.

Semikolon (;) trennt den Selektor auf für (Suffix .none)
Minuszeichen (-) vor dem Pfad verhindert übermäßige Schreibvorgänge auf der Festplatte.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Erkläre…

*.=debug;\
auth,authpriv.none;\
news.none;mail.none 

-/var/log/debug
A

Nachrichten von allen Einrichtungen mit der Priorität debug und keiner anderen (=) werden nach /var/log/debug geschrieben
Mit Ausnahme aller Nachrichten, die von den Einrichtungen auth, authpriv, news und mail kommen
(beachte die Syntax: ;\).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Welcher command logged manuell in
/var/log/syslog
oder
/var/log/messages
(falls die Protokollierung auf remote server geschickt wird)

A

logger
z.B. praktisch zum verwenden in Skripts
logger -t Backup "Datensicherung ausgeführt"

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Was macht das Programm logrotate

A

komprimiert und rotiert logs, damit diese nicht zu groß werden

17
Q

Wo liegt das config file für logrotate ?

A

/etc/logrotate.conf
oder
/etc/logrotate.d/

18
Q

Wie und wann wird logrotate ausgeführt ?

A

logrotate liest die Konfigurationsdatei /etc/logrotate.conf und wird als automatisierter Prozess oder Cron-Job täglich durch das Skript /etc/cron.daily/logrotate ausgeführt.

19
Q

Wie funktioniert logrotate ?

A
  1. /var/log/messages.4.gz wird gelöscht und geht verloren.
  2. Der Inhalt von messages.3.gz wird nach messages.4.gz verschoben.
  3. Der Inhalt von messages.2.gz wird nach messages.3.gz verschoben.
  4. Der Inhalt von messages.1 wird nach messages.2.gz verschoben.
  5. Der Inhalt von messages wird nach messages.1 verschoben —
  6. /var/log/messages ist leer und bereit, neue Protokolleinträge aufzunehmen.
20
Q

Was bedeuten die folgenden infos in einer logrotate.conf ?

/var/log/messages
{
weekly
rotate 4
missingok
notifempty
compress
delaycompress
postrotate
invoke-rc.d rsyslog rotate > /dev/null
endscript
}
A

weekly - rotiert logs wöchentlich
rotate 4 - Bewahrt logs von 4 Wochen
missingok - Keine Fehlermeldung ausgeben wenn die logdatei fehlt
notifempty - nicht rotieren wenn das log leer ist.
compress - log mit gzip komprimieren
delaycompress - komprimierung auf den nächsten RotationsZyklus verschieben

21
Q

Lese das log /var/log/syslog.7.gz
Welche commands verwendest du ?

A

zless /var/log/syslog.7.gz
oder
zmore /var/log/syslog.7.gz

22
Q

Lese /var/log/syslog dynamisch

A

tail -f /var/log/syslog

23
Q

Lese /var/log/faillog

A

faillog -a

24
Q

Welche Regeln würden Sie zu /etc/rsyslog.conf hinzufügen, um folgende Aufgaben zu erfüllen:

◦ Alle Nachrichten der Facility mail mit einer Priorität/Schwere von crit (und höher) nach /var/log/mail.crit senden:

A

mail.crit /var/log/mail.crit

25
Welche Regeln würden Sie zu /etc/rsyslog.conf hinzufügen, um folgende Aufgaben zu erfüllen: Alle Nachrichten der Facility mail mit den Prioritäten alert und emergency nach /var/log/mail.urgent senden:
`mail.alert /var/log/mail.urgent` ... weil nach alert kommt nur mehr emergency daher muss nur alert angegeben werden. Priorität ist hierarchisch inklusiv, was bedeutet, dass rsyslog Nachrichten mit der angegebenen Priorität und auch alle mit höherer Priorität gesendet werden
26
Welche Regeln würden Sie zu /etc/rsyslog.conf hinzufügen, um folgende Aufgaben zu erfüllen: Alle Nachrichten (unabhängig von Facility und Priorität) nach /var/log/allmessages senden, außer jenen, die von den Facilities cron und ntp kommen:
`*.*;cron.none;ntp.none /var/log/allmessages`
27
Welche Regeln würden Sie zu /etc/rsyslog.conf hinzufügen, um folgende Aufgaben zu erfüllen: Sofern alle erforderlichen Einstellungen richtig konfiguriert sind, alle Nachrichten der Facility mail an einen entfernten Host mit der IP-Adresse 192.168.1.88 unter Verwendung von TCP und Angabe des Standardports senden:
`mail.* @@192.168.1.88:514`
28
Welche Regeln würden Sie zu /etc/rsyslog.conf hinzufügen, um folgende Aufgaben zu erfüllen: Alle Meldungen mit der Priorität warning (und zwar nur warning) unabhängig von ihrer Facility nach /var/log/warnings schreiben, um übermäßiges Schreiben auf die Festplatte zu verhindern:
`*.=warning -/var/log/warnings`

LPIC (21 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2025 Bold Learning Solutions. Terms and Conditions