Как разобраться с логированием: гайд для начинающих

Этот материал мы ориентировали на тех, кто в первый раз сталкивается с логированием серверных служб и web-серверов. Познакомим с уровнями логирования, расскажем об основных типах логов и перечислим инструменты для работы с ними.

Зачем оно вообще нужно, это логирование?

На анализе логов базируется работа большинства ИТ-специалистов. Администраторы  ищут в файлах логирования причины сбоя сервиса. Разработчики опираются на логи, чтобы локализовать и устранить ошибки приложения или веб-сайта. Служба безопасности по логам, как по физическим уликам, определяет вид взлома, оценивает нанесенный ущерб и даже может идентифицировать взломщика. Вот почему логирование мы рекомендуем отладить в первую очередь: в любой непонятной ситуации ответ на вопрос вы будете искать в логах!

Файлы логирования

Файлы логирования

Уровни логирования

В идеале логи пишутся во время работы всех IT-систем, однако если писать все подряд и «складывать в кучу», полезная информация превратится в хаос. Чтобы упростить поиск и чтение логов, их делят на уровни. Основных четыре:

  1. Debug — запись масштабных переходов состояний, например, обращение к базе данных, старт/пауза сервиса, успешная обработка записи и пр.

  2. Warning — нештатная ситуация, потенциальная проблема, может быть странный формат запроса или некорректный параметр вызова.

  3. Error — типичная ошибка.

  4. Fatal — тотальный сбой работоспособности, когда нет доступа к базе данных или сети, сервису не хватает места на жестком диске.

Дополнительно файл логирования может расширяться записями еще двух уровней:

  1. Trace  — пошаговые записи процесса. Полезен, когда сложно локализовать ошибку.

  2. Info — общая информация о работе службы или сервиса.

Работа с уровнями логирования регламентируется методическими документами и внутренними правилами организации. В них может определяться соответствие источника сообщения уровню логирования, значимость, порядок обработки каждого уровня и другие параметры.

Типы логов

Для удобства обработки логов их делят на типы:

  • системные, связанные с системными событиями,

  • серверные, отвечающие за процесс обращения к серверу,

  • почтовые, работающие с отправлениями,

  • логи баз данных, которые отражают процессы обращения к базам данных,

  • авторизационные и аутентификационные, которые отвечают за процесс входа, выхода из системы, восстановление доступа и пр.

У каждого типа логов свой журнал записи. Для проверки логов авторизации нужно идти в журнал доступов, чтобы проверить загрузку системы — в журнал dmesg, за данными о запросах пользователей — в access_log. Когда одни логи пишутся отдельно от других, проще диагностировать ситуацию и найти источник проблемы.

Логи в access_log

Логи в access_log

Инструменты для работы с логами

Сбор, хранение и анализ логов вручную хороши, когда у вас один сервер. Когда серверный парк разрастается, а приложений и сервисов становится больше десяти, работу с логами целесообразно автоматизировать и использовать специальные системы логирования, например, Graylog, ELK, Loggy или Splunk. Некоторые из них позволяют организовать полномасштабный мониторинг, настроить алерт раннего обнаружения конкретной проблемы или установить пороговые значения показателей, коррелирующих с угрозами информационной безопасности. 

Логи сетевого, инженерного оборудования, баз данных и приложений мы храним в облачном хранилище. И вам советуем. Даже когда у вас полно места на жестких дисках и стоит мощная защита на все случаи жизни. Оборудование рано или поздно, а чаще неожиданно, выходит из строя, а злоумышленники давно умеют чистить файлы логирования, так что логи в облаке — это возможность восстановить события и расследовать инцидент даже при полном отказе системы.

Хранение логов в облаке

Хранение логов в облаке

Логирование кажется второстепенным процессом, который занимает время, но не дает видимых результатов. Однако это только кажется и только до тех пор, пока не появится реальная проблема, с которой можно разобраться только по логам. И только если они записаны, распределены по уровням, собираются и доступны для анализа.

Читать еще
Внутренний аудит информационной безопасности 18.06.2021
В копилку службы ИБ: методы, подходы и чек-листы для внутреннего аудита информационной безопасности.
Читать подробнее
Когда нужен внешний аудит информационной безопасности 09.07.2021
Про объекты, результаты и периодичность внешнего аудита информационной безопасности для операторов ПДн, объектов критической информационной инфраструктуры, субъектов НПС и других компаний.
Читать подробнее
Что такое тикет-система и как она применяется в ЦОД 16.07.2021
Чем тикет-система лучше телефонной поддержки и как ЦОД использует тикеты для улучшения работы.
Читать подробнее
Аварии в ЦОД и как их избежать 23.07.2021
Про экстраординарные форс-мажоры ЦОД на примере аварии дата-центра «Курчатовский» и меры защиты от основных глобальных рисков
Читать подробнее
Введение нового порядка госаккредитации ИТ-компаний в РФ 30.07.2021
Как изменится госаккредитация ИТ-компаний с 1 августа 2021 года? Делаем обзор изменений и нововведений.
Читать подробнее
В GreenBushDC началось строительство нового модуля А1 23.08.2024
В Центре обработки данных стартовало строительство модуля А1, который предоставит клиентам больше возможностей для масштабирования и оптимизации их ИТ-инфраструктуры.
Читать подробнее
Оставить заявку
После отправки заявки ожидайте звонка нашего менеджера.
* Поля, обязательные к заполнению.
Спасибо!
Данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
контакты компании
Адрес компании
124460, Москва, Зеленоград, ул. Конструктора Лукина, д. 14А, офис 501
Поддержка 24/7
8 495 784 60 80
ПОЧТИ готово!
Спасибо, данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
* Поля, обязательные к заполнению.