Просмотр системных журналов KSystemLog

Имя пакета программы: ksystemlog
Версия пакета программы: 4.22.12.3 и выше
Условия запуска программы: вход в сессию с правами администратора

О программе

Просмотр записей в системных журналах, отвечающих за сбор, обработку и хранение информации о событиях в операционной системе. Приложение позволяет просматривать основной системный журнал и журналы сообщений ядра, авторизации, служб, аудита, а также дополнительных служб, таких как Acpid, Cron, Cups, Postfix и X.org.

Запуск

Программа запускается:

  • в графическом интерфейсе: Пуск — Системные — Просмотр системных журналов KSystemLog;
  • из терминала — выполнить команду:

ksystemlog

Интерфейс программы

Вид главного окна зависит от настроек интерфейса программы.

На рисунке отображены:

  • 1 — строка меню, предоставляющая доступ к функциям программы;
  • 2 — панель инструментов, содержащая кнопки управления и кнопки быстрого доступа к журналам;
  • 3 — панель фильтра, предоставляющая возможность фильтрации событий по требуемому параметру;
  • 4 — область просмотра информации о событиях из системных журналов;
  • 5 — строка состояния.

Настройка программы

Для настройки основных параметров программы KSystemLog необходимо в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Основные параметры. Здесь возможно установить:

  • журнал, выводимый на панель просмотра при запуске программы;
  • количество строк, выводимых на экран;
  • оформление строк журнала;
  • формат даты и времени.

Для сохранения настроек необходимо нажать [Да].

Настройка панели инструментов

Для настройки панели инструментов программы необходимо в меню выбрать Настройка — Панели инструментов. В открывшемся окне выпадающий список Панель инструментов позволяет настроить основную панель управления KSystemLog и панель доступа к журналам:

  • добавление действия на панель инструментов выбрать доступное действие из списка и переместить его в текущие действия, нажав кнопку [>>];
  • удаление действия с панели инструментов —выбрать текущее действие из списка и переместить его в доступные действия, нажав кнопку [<<];
  • выбор порядка отображения элементов на панели инструментов в списке текущих действий выбрать действие и переместить его на нужную позицию нажатием кнопки [↑] или [↓] соответственно.

Кнопка [Изменить значок] предоставляет возможность сменить изображение значка действия, а кнопка [Изменить текст] позволяет переименовать действие.


Для сохранения изменений необходимо нажать [Да].

Настройка комбинаций клавиш

Настройка комбинаций клавиш позволяет изменить действующие комбинации клавиш, создать собственную схему комбинаций клавиш либо экспортировать подготовленную или импортировать ранее созданную схему.

Редактирование действующих комбинаций

Для назначения комбинаций клавиш необходимо:

  • в главном окне программы в меню выбрать Настройка Комбинации клавиш;
  • в открывшемся окне выбрать требуемое действие;
  • выбрать Другая и нажать [Не определена];
  • нажать сочетание клавиш, которое требуется установить в качестве основного, и нажать [Да].

Для удаления назначенной комбинации клавиш следует выбрать требуемое действие и нажать кнопку очистки.

Создание и удаление комбинаций

Создание новой схемы комбинаций клавиш:

  • в главном окне программы в меню выбрать Настройка Комбинации клавиш;
  • в открывшемся окне нажать [Настройка схем] и на отобразившейся панели с кнопками нажать [Создать];
  • в открывшемся окне озаглавить новую схему и нажать [Да]. Данная схема отобразится в раскрывающемся списке Текущая схема в качестве основной;
  • назначить выбранные комбинации клавиш (см. Редактирование действующих комбинаций).

Экспорт подготовленной схемы комбинаций клавиш:

  • в главном окне программы в меню выбрать НастройкаКомбинации клавиш;
  • в открывшемся окне нажать [Настройка схем] и на отобразившейся панели с кнопками в выпадающем списке Дополнительно выбрать Экспорт схемы;
  • в открывшемся окне в поле Путь ввести имя экспортируемой схемы или указать путь к данному файлу, после чего нажать [Сохранить].

Импорт ранее созданной схемы комбинаций клавиш:

  • в главном окне программы в меню выбрать Настройка Комбинации клавиш;
  • в открывшемся окне нажать [Настройка схем] и на отобразившейся панели с кнопками в выпадающем списке Дополнительно выбрать Импорт схемы;
  • в открывшемся окне в поле Путь ввести имя импортируемой схемы или указать путь к данному файлу, после чего нажать [Открыть].

Удаление текущей схемы комбинаций клавиш:

  • в главном окне программы в меню выбрать Настройка Комбинации клавиш;
  • в открывшемся окне нажать [Настройка схем] и на отобразившейся панели с кнопками нажать [Удалить];
  • в открывшемся окне нажать кнопку [Удалить] для подтверждения операции.

Настройка отображения логирования

Логирование на локальном компьютере

Настройка отображения логирования позволяет упорядочить выведение информации о событиях системы. Программа KSystemLog предоставляет возможность отображения единого лог-файла пользователя на основе выбранных журналов.

Для настройки отображения файлов логирования на локальном компьютере необходимо в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Системный журнал. По умолчанию в данном журнале выводятся события из основного лог-файла (/var/log/syslog). В системном журнале программа KSystemLog позволяет составить и вывести на экран единый лог-файл на основе выбранных журналов. Для этого необходимо:

  • нажать [Добавить файл] и в открывшемся окне выбрать файл с расширением .log либо указать путь к файлу вручную в поле Путь;
  • нажать [Открыть], после чего сохранить изменения, нажав [Да].

Добавленный файл журнала отобразится в области Файлы журнала. При выведении на экран событий программы файлы будут прочитаны в том же порядке, как они указаны в списке. Данным способом возможно добавить несколько файлов журналов, составив индивидуальный лог-файл для анализа событий в системе.

Логирование на удаленном компьютере

Для отображения файлов логирования, которые хранятся на удаленном компьютере, необходимо:

  • в меню выбрать Настройка Настроить KSystemlog и в открывшемся окне выбрать Журнал Journald;
  • раскрыть выпадающий список и выбрать тип записей, которые необходимо выводить при анализе удаленного журнала;

  • нажать [Добавить адрес] и в открывшемся окне:
    • добавить IP-адрес удаленного компьютера, где хранится требуемый журнал;
    • указать порт доступа;
    • установить флаг в поле HTTPS, в случае если требуется использовать соединение по протоколу HTTPS.

Настройка фильтрации событий

Фильтрация событий в системных журналах позволяет предоставить информацию о работе конкретных служб в заданный период времени, а также отсортировать выводимые данные в требуемом порядке. Выполнить фильтрацию событий возможно для каждого журнала, выбранного в данный момент на панели инструментов.

Для настройки фильтрации событий:

  • с использованием строки поиска — необходимо использовать поле Фильтр, где ввести соответствующий критерий (дату, службу, хост, процесс или фрагмент текстового сообщения);
  • в рамках выбранного столбца — необходимо из выпадающего списка Все выбрать столбец, в котором будет происходить поиск. Например, если выбрать столбец Процесс, то при использовании поля Фильтр сообщения будут отображены только в том случае, если они содержатся в выбранном столбце Процесс. Компоненты, доступные для выбора в выпадающем списке Все, зависят от конкретного журнала;
  • по уровню критичности (информационное сообщение, ошибка, критическая ошибка и т.д.) — необходимо в выпадающем списке Выбрать приоритеты установить соответствующие флаги для вывода требуемых данных. По умолчанию флаги установлены для всех возможных событий;

  • в заданном периоде (доступно для журнала аудита)— для настройки вывода событий за определенный период необходимо в поле Фильтр ввести даты и время начала и окончания периода, выбрать начальную и конечную даты возможно из раскрывающегося меню, которое будет отображено в виде календаря.

Работа с журналами KSystemLog

Кнопки управления

Кнопки управления на панели инструментов выполняют следующие функции:

  • [Остановить] / [Продолжить] приостанавливает вывод информации о событиях на экран с возможностью возобновления вывода информации;
  • [Перезагрузить] перезагружает экран с выводимой информацией, обновляя весь список событий.

Сохранение информации о событии

Для сохранения выделенного фрагмента событий или части журнала в отдельный файл необходимо:

  • в главном окне программы в области просмотра журнала выделить необходимые строки или весь отображаемый журнал;
  • правой кнопкой мыши вызвать контекстное меню, в котором выбрать Сохранить как;
  • в открывшемся окне в поле Путь ввести имя создаваемого файла, после чего нажать [Сохранить].

Просмотр подробной информации

Для просмотра подробной информации о событии необходимо выделить событие и на панели инструментов нажать [Подробности] либо правой кнопкой мыши вызвать контекстное меню события и выбрать [Подробности]. В открывшемся окне с информацией о текущем событии предусмотрен переход к следующему или предыдущему событию.

Добавление, изменение и удаление

Здесь рассмотрены действия добавления, изменения и удаления, которые возможно осуществить только с файлами следующих журналов:

  • системный журнал;
  • журналы служб;
  • журнал аудита;
  • журнал X.org;
  • журнал Acpid;
  • журнал Cron;
  • журнал Postfix.

Действия с файлами журналов веб-сервера, авторизации, Cups, Samba и сеансов графической системы X имеют свою специфику и приведены в соответствующих разделах описания программы.

Добавление файла журнала

Для добавления файла журнала в список анализируемых необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать необходимый журнал;
  • нажать [Добавить файл];
  • в открывшемся окне выбрать файл либо указать путь к файлу вручную в поле Путь;
  • нажать [Открыть], после чего сохранить изменения, нажав [Да].

Изменение файла журнала

Для изменения файла журнала необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать необходимый журнал;
  • выделить файл для замены и нажать нажать [Изменить файл];
  • в открывшемся окне выбрать необходимый файл либо указать путь к файлу вручную в поле Путь;
  • нажать [Открыть], после чего сохранить изменения, нажав [Да].

Удаление файла журнала

Для удаления файла журнала из списка анализируемых необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать необходимый журнал;
  • выделить файл журнала и нажать [Удалить].

Файл журнала будет удален из списка анализируемых, но будет сохранен в операционной системе.

Назначение системных журналов

Системный журнал

Данный журнал предоставляет информацию об основных событиях операционной системы из файла /var/log/syslog и содержит следующую информацию:

  • Дата дата и время события, а также его уровень критичности;
  • Хост имя компьютера, на котором произошло событие в системе;
  • Процесс название процесса, к которому относится событие;
  • Сообщение результат события в текстовом виде (например, начало новой сессии пользователя или подключение дополнительного монитора).

Описание действий с журналом приведено в соответствующем разделе (см. Работа с журналами KSystemLog).

Журнал ядра

Журнал ядра предоставляет подробный лог сообщений от ядра операционной системы из файла /var/log/kern.log. Он анализируется для выявления и устранения неисправностей. Журнал содержит следующую информацию:

  • Дата — дата и время события, а также его уровень критичности;
  • Компонент — наименование компонента, с которым связано сообщение;
  • Сообщение — результат события в текстовом виде (например, обнаружение нового USB-устройства или инициализация Bluetooth).

Журнал авторизации

Файл журнала по умолчанию

Содержит информацию из файла /var/log/auth.log об авторизации пользователей и механизмах проверки подлинности, которые были использованы. Данный журнал содержит следующую информацию:

  • Дата — дата и время события, а также его уровень критичности;
  • Хост — имя компьютера, на котором произошло событие в системе;
  • Процесс — название процесса, к которому относится событие;
  • Сообщение — результат события в текстовом виде (например, начало сессии конкретного пользователя системы).

Изменение файла журнала

Для изменения файла журнала авторизации необходимо:

  • выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал авторизации;
  • определить путь к файлу одним из следующих способов:
    • нажать кнопку выбора файла и в открывшемся окне, выбрав соответствующий файл, нажать [Открыть];

    • ввести путь к файлу вручную в поле Файл журнала авторизации;
  • нажать [Да] для сохранения изменений.

Журналы служб

Отображают запущенные в операционной системе процессы и службы из файла /var/log/daemon.log и содержат следующую информацию:

  • Дата — дата и время события, а также его уровень критичности;
  • Хост — имя компьютера, на котором произошло событие в системе;
  • Процесс — название процесса, к которому относится событие;
  • Сообщение — результат события в текстовом виде (например, запуск Hostname-службы или менеджера авторизации).

Описание действий с журналами приведено в соответствующем разделе (см. Работа с журналами KSystemLog).

Журнал X.org

Содержит записи о работе сервера X.org, который позволяет организовать графическую рабочую среду. Журнал выводит записи из файла /var/log/xorg.0.log и содержит следующую информацию:

  • Строка — отображает значок приоритета (уровня критичности события);
  • Тип текстовое наименование приоритета;
  • Сообщение — результат события в текстовом виде (например, отсутствие аппаратного ускорения 3D или определение устройства ввода).

Описание действий с журналом приведено в соответствующем разделе (см. Работа с журналами KSystemLog).

Журнал Journald

Хранит данные в структурированном виде и является дополнением к системному журналу. Он дает возможность отдельного отображения записей процессов текущего пользователя, а также журнала системных служб и ядра из файлов /var/log/syslog, /var/log/kernel.log, /var/log/daemon.log. Журнал Journald позволяет выводить на экран программы файлы логирования с удаленного рабочего места (см. Логирование на удаленном компьютере). Запускается по умолчанию при загрузке программы и содержит следующую информацию:

  • Дата — дата и время события, а также его уровень критичности;
  • Сервис — принадлежность события к конкретной службе;
  • Сообщение — результат события в текстовом виде (например, активация службы DHCP или назначение IP-адреса на отдельном интерфейсе).

Журнал аудита

Предназначен для отслеживания критичных системных событий с точки зрения безопасности. Журнал выводит сообщения из файла /var/log/audit/audit.log и содержит следующую информацию:

  • Дата — дата и время события, а также его уровень критичности;
  • Сообщение — результат события в текстовом виде (например, изменение сетевых настроек или попытка неудачной авторизации в системе).

Описание действий с журналом приведено в соответствующем разделе (см. Работа с журналами KSystemLog).

Журнал Cron

Содержит записи о событиях, связанных с планировщиком заданий Cron, который позволяет назначить точное время и дату запуска определенной команды, службы или программы операционной системы. Данный журнал выводит сообщения из файла /var/log/cron.log и содержит следующую информацию:

  • Дата — дата и время события, а также его уровень критичности;
  • Хост — имя компьютера, на котором произошло событие в системе;
  • Процесс — название процесса, к которому относится событие;
  • Пользователь — в данном столбце могут выводиться действия пользователя с правами root, название службы или краткое описание созданной пользователем задачи;
  • Команда — результат запущенной команды, службы или программы (например, запуск программы проверки обновлений в заданное время).

Описание действий с журналом приведено в соответствующем разделе (см. Работа с журналами KSystemLog).

По умолчанию в настройках журнала Cron установлен флаг Включить фильтрацию процессов. В данном режиме работы журнал выводит только те события, которые явно указаны в поле Оставить только строки, соответствующие этому процессу. Например, если в данном поле ввести cracklib, то журнал Cron выведет на экран только строки, связанные с данным процессом.

Для выведения на экран всей доступной информации из журнала необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog;
  • в открывшемся окне выбрать Журнал Cron;
  • снять флаг в поле Включить фильтрацию процессов;
  • нажать [Да] для сохранения изменений.

Журнал Cups

Хранит информацию о событиях сервера печати и содержит следующую информацию:

  • Дата дата и время события, а также его уровень критичности;
  • Хост — имя компьютера, на котором произошло событие в системе (в качестве локального имени используется localhost);
  • Группа принадлежность к группе (при ее наличии);
  • Пользователь — имя пользователя в системе;
  • Запрос HTTP для клиентов Cups должно выводиться значение HTTP/1.1;
  • Состояние — числовое обозначение операции (например, 200 свидетельствует об успешной операции, а 404 — файл или ресурс не существует);
  • Байт количество переданных байт;
  • Операция IPP название операции Internet Printing Protocol (например, Print-job — распечатать файл);
  • Состояние IPP — состояние выполненной операции (например, succesful ok — выполнена успешно).

Журнал Cups может содержать:

  • файл журнала Cups (/var/log/cups/error_log);
  • файл журнала обращений к Cups (/var/log/cups/access_log);
  • файл журнала страниц Cups (/var/log/cups/page_log);
  • файл журнала печати PDF (/var/log/cups/cups-pdf_log).

Данные файлы анализируются для вывода операций в журнале сетевой печати.

Добавление файла журнала Cups

Для добавления файла журнала необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал Cups;
  • нажать:
    • [Добавить журнал] — для добавления журнала, содержащего сведения об ошибках;
    • [Добавить журнал обращений] для добавления журнала обращений к серверу печати;
    • [Добавить журнал страниц] — для добавления журнала страниц;
    • [Добавить журнал PDF] для добавления журнала печати PDF;
  • в открывшемся окне выбрать соответствующий файл либо указать путь к файлу вручную в поле Путь;
  • нажать [Открыть], после чего сохранить изменения, нажав [Да].

Изменение файла журнала Cups

Для изменения файла журнала необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал Cups;
  • выделить файл для замены и нажать нажать [Изменить файл];
  • в открывшемся окне выбрать необходимый файл либо указать путь к файлу вручную в поле Путь;
  • нажать [Открыть], после чего сохранить изменения, нажав [Да].

Удаление файла журнала Cups

Для удаления файла журнала из списка анализируемых необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал Cups;
  • выделить файл журнала и нажать [Удалить].

Файл журнала будет удален из списка анализируемых, но будет сохранен в операционной системе.

Журнал Samba

Содержит сведения о работе сетевого протокола для общего доступа к файлам. Здесь хранятся следующие файлы:

  • файл журнала Samba (/var/log/samba/log.smbd);
  • файлы журнала обращений Samba (/var/log/samba/log.localhost и /var/log/samba/log.127.0.0.1);
  • файл журнала Netbios (/var/log/samba/log.nmbd).

Добавление файла журнала Samba

Для добавления файлов журнала в список анализируемых необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал Samba;
  • нажать:
    • [Добавить файл Samba] — для добавления файла журнала Samba;
    • [Добавить файл обращений Samba] — для добавления файла журнала обращений Samba;
    • [Добавить файл Netbios] для добавления файла журнала Netbios;
  • в открывшемся окне выбрать соответствующий файл либо указать путь к файлу вручную в поле Путь;
  • нажать [Открыть], после чего сохранить изменения, нажав [Да].

Изменение файла журнала Samba

Для изменения файла журнала необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал Samba;
  • выделить файл для замены и нажать нажать [Изменить файл];
  • в открывшемся окне выбрать необходимый файл либо указать путь к файлу вручную в поле Путь;
  • нажать [Открыть], после чего сохранить изменения, нажав [Да].

Удаление файла журнала Samba

Для удаления файла журнала из списка анализируемых необходимо:

  • в меню выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал Samba;
  • выделить файл журнала и нажать [Удалить].

Журнал Postfix

Хранит записи работы приложения для отправки и приема электронной почты Postfix и содержит следующую информацию:

  • Дата — дата и время события, а также его уровень критичности;
  • Хост — имя компьютера, на котором произошло событие в системе;
  • Процесс — название процесса, к которому относится событие;
  • Сообщение — результат события в текстовом виде (например, сведения об ошибке отправки электронной почты).

Журнал поддерживает типы файлов:

  • сведения об ошибках (/var/log/mail.err);
  • сведения о различных предупреждениях (/var/log/mail.warn);
  • информационные сообщения (/var/log/mail.info);
  • общий лог-файл журнала (/var/log/mail.log).

Описание действий с журналом приведено в соответствующем разделе (см. Работа с журналами KSystemLog).

Журнал Acpid

Журнал Acpid (Advanced Configuration and Power Interface events Daemon) выводит информацию из файла /var/log/acpi.log о событиях службы управления питанием и системных событиях в операционной системе. Он позволяет отслеживать события, связанные с перезапуском системы, приостановкой и завершением ее работы. Данный журнал содержит следующую информацию:

  • Дата дата и время события, а также его уровень критичности;
  • Тип название события;
  • Сообщение результат события в текстовом виде (например, сведения о перезапуске операционной системы).

Описание действий с журналом приведено в соответствующем разделе (см. Работа с журналами KSystemLog).

Журнал веб-сервера

Хранит информацию о событиях, происходящих на веб-сервере Apache2, в файле /var/log/apache2/error.log, и событиях, содержащих сведения об обращениях к веб-серверу, в файле /var/log/apache2/access.log.

Добавление файла журнала веб-сервера

Для добавления файла в список анализируемых необходимо:

  • выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал веб-сервера;
  • нажать:
    • [Добавить файл веб-сервера] для добавления журнала, содержащего сведения об ошибках работы веб-сервера;
    • [Добавить файл обращений к веб-серверу] для добавления журнала, содержащего сведения об обращениях к веб-серверу;
  • в открывшемся окне выбрать соответствующий файл либо указать путь к файлу вручную в поле Путь;
  • нажать [Открыть], после чего сохранить изменения, нажав [Да].

Изменение файла журнала веб-сервера

Для изменения файла необходимо:

  • выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал веб-сервера;
  • выделить файл для замены и нажать [Изменить файл];
  • в открывшемся окне выбрать необходимый файл либо указать путь к файлу вручную в поле Путь;
  • нажать [Открыть], после чего сохранить изменения, нажав [Да].

Удаление файла журнала веб-сервера

Для удаления файла журнала из списка анализируемых необходимо:

  • выбрать Настройка — Настроить KSystemlog и в открывшемся окне выбрать Журнал веб-сервера;
  • выделить файл журнала и нажать [Удалить].

Файл журнала будет удален из списка анализируемых, но будет сохранен в операционной системе.

Журнал X Window

Журнал сеансов графической системы X (X Window) в файле .xsession-errors хранит ошибки, возникающие в графической среде Linux. При работе X Window любое приложение с данным графическим интерфейсом записывает информацию об ошибках в файл журнала.
Примечание. При установленном графическом окружении данный файл может достигнуть большого объема, что будет оказывать влияние на работу всей операционной системы. Это особенно актуально на рабочих станциях, которые длительное время не переходят в режим перезагрузки или завершения работы.

Процесс изменения файла журнала графической системы X аналогичен процессу изменения файла журнала авторизации (см. Журнал авторизации).