Questions tagged «rsyslog»

在长时间运行的系统上，我通常会有一个终端 $ tail -f /var/log/kern.log 或类似的东西。 但是由于我不再显示新消息，因此我有时需要重新启动该命令。 我认为这是因为替换日志文件的日志轮换作业tail -f正在“监视”。 如何避免这种重启问题？ 我是否可以调用tail它，使其注意到旋转过程并做正确的事情？ （我在rsyslogd默认使用的Ubuntu 11.04系统上注意到此问题。）

106 logs  tail  logrotate  rsyslog 

据我了解，Linux内核记录到/proc/kmsg文件（主要是与硬件相关的消息）和/dev/log套接字中？还有其他地方吗 其他应用程序也能够向/proc/kmsg或发送消息/dev/log吗？最后但并非最不重要的，我是正确的，这是系统日志守护程序（rsyslog现在，syslog-ng的），它来自这两个地方检查邮件，然后分发给那些喜欢各种文件/var/log/messages或者/var/log/kern.log甚至是中央系统日志服务器？

62 linux-kernel  syslog  rsyslog  syslog-ng 

我想使用syslog记录来自基于PHP的站点的消息。我的问题是-我可以添加自定义设施名称吗？我知道有一些预定义的功能，例如： auth, authpriv, cron, dæmon, kern, lpr, mail, mark, news, syslog, user, UUCP and local0 through local7. 据我了解，我可以为此使用local0-local6设施。 但是我只是觉得，如果可以在syslog中添加以下内容： mySiteName.* /var/log/mySiteName.log 对于其他人来说，从视觉上更容易理解。不幸的是，以上代码导致： rsyslogd-3000: unknown facility name "mySiteName" 那么-有没有办法使用自定义工具名称？

27 logs  syslog  rsyslog 

这是一个奇怪的问题。 我正在RHEL7 VM上测试chrony / ntp服务，并且正在重置其时间以及主机的时间。对它感到满意之后，我检查/var/log/messages并意识到它已经有一段时间没有被更改了。 现在，无论我做什么，除了重新启动rsyslog服务本身时，什么都不会记录。当我这样做时： Apr 15 13:59:43 mymachine1 rsyslogd: [origin software="rsyslogd" swVersion="7.4.2" x-pid="2847" x-info="http://www.rsyslog.com"] exiting on signal 2. Apr 15 13:59:59 mymachine1 rsyslogd: [origin software="rsyslogd" swVersion="7.4.2" x-pid="2853" x-info="http://www.rsyslog.com"] start Apr 15 14:00:11 mymachine1 rsyslogd-3000: sd_journal_get_cursor() failed: 'Cannot assign requested address' 尝试诸如“ logger test不记录”之类的东西，除了rsyslog自己的消息外，别无其他。当我手动运行rsyslog -n -N1作为参数时，我得到： rsyslogd: version 7.4.2, …

17 systemd  syslog  rsyslog 

rsyslog的默认行为是将跟踪追加到现有的日志文件。 现在，我已经看到（CentOs，Scientific Linux），当rsyslog已经运行时，您删除日志文件（例如，一个专用于从应用程序进行日志跟踪的文件），然后运行您的应用程序，rsyslog 将不会创建日志文件并且不会记录任何跟踪。 是否有某种配置选项可以告诉rsyslog在添加跟踪文件之前创建日志文件（如果不存在）？ 注意：执行a service rsyslog restart将强制创建一个空的日志文件。 rsyslog.conf（未添加任何内容） # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html #### MODULES #### $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides kernel logging …

12 centos  logs  rsyslog 

我正在尝试了解该/etc/rsyslog.conf文件，但我缺少一些东西。例如，这是文件的一部分： auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog cron.* /var/log/cron.log daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log 根据此页面： 该功能是以下关键字之一：auth，authpriv，cron，daemon，kern，lpr，mail，mark，新闻，安全性（与auth相同），syslog，user，uucp和local0到local7。 优先级是以下关键字之一，按升序排列：debug，info，notice，warning，warn（与警告相同），err，error（与err相同），crit，alert，emerg，panic（与emerg相同）。关键字error，warn和panic已被弃用，不再应使用。优先级定义消息的严重性。 星号（“ *”）代表所有设施或所有优先级，具体取决于使用地点（时间段之前或之后）。关键字none代表给定设施的优先级。 您可以使用逗号（“，”）运算符在一个语句中指定具有相同优先级模式的多个功能。您可以根据需要指定任意数量的设施。请记住，只有这样的语句中的设施部分被采用，优先级部分将被跳过。 可以使用分号（“;”）分隔符为单个操作指定多个选择器。请记住，选择器字段中的每个选择器都可以覆盖前面的选择器。使用此行为，您可以从模式中排除某些优先级。 因此，这是可以理解的，但是右边的文件路径呢？它可以只是一个路径，或者路径|或-之前（或甚至是别的东西）。两者之间有什么区别？

11 debian  rsyslog 

有没有一种方法可以配置rsyslog来抑制相同的重复消息？ 在某些情况下（通常是硬件故障），由于每四分之一秒左右的重复消息，我的系统日志可能会增长到100 MB或更多。

10 syslog  rsyslog 

开箱即用，rsyslog会将所有内容转储到SystemEventsSyslog数据库内的表中（如果使用提供的默认模式）。我想使用正则表达式将入站消息过滤到单独的数据库表中。 我已经玩过这个游戏了，但是我很难找出最好的方法来做到这一点（甚至是起作用的方法）。 在我的rsyslog.conf中： $template wireless, \ "insert into RogueAPs \ (ReceivedAt, DeviceReportedTime, Facility, Priority, FromHost, Message) \ VALUES('%timegenerated%', '%timereported%', '%syslogfacility%', '%syslogpriority%', '%fromhost-ip%', '%msg%');", \ stdsql if $msg contains 'subtype=wireless' then :ommysql:127.0.0.1,Syslog,dbusername,dbpassword;wireless *.* :ommysql:127.0.0.1,Syslog,dbusername,dbpassword 这是我的最新尝试，但我遇到了麻烦。 （RogueAPs表只是rsyslog附带的默认SystemEvents表的克隆） 版本信息： shell# /usr/local/sbin/rsyslogd -v rsyslogd 5.5.5, compiled with: FEATURE_REGEXP: Yes FEATURE_LARGEFILE: No FEATURE_NETZIP (message compression): …

10 logs  rsyslog 

我正在将Ubuntu 14.04 VM增强为CIS标准，并且在获取rsyslog来创建必要文件时遇到问题。 注意：我对Linux的了解越来越好，但是我还不是一个熟练的人，请原谅。 我插入了一个文件/etc/rsyslog.d/CIS.conf，内容如下： *.emerg :omusrmsg:* mail.* -/var/log/mail mail.info -/var/log/mail.info mail.warning -/var/log/mail.warn mail.err /var/log/mail.err news.crit -/var/log/news/news.crit news.err -/var/log/news/news.err news.notice -/var/log/news/news.notice *.=warning;*.=err -/var/log/warn *.crit /var/log/warn *.*;mail.none;news.none -/var/log/messages local0,local1.* -/var/log/localmessages local2,local3.* -/var/log/localmessages local4,local5.* -/var/log/localmessages local6,local7.* -/var/log/localmessages 我还修改了/etc/rysyslog.conf。内容因此是： $ModLoad imuxsock # provides support for local system logging $ModLoad imklog # provides kernel …

9 ubuntu  rsyslog 

注意，对于VM框，进入rsyslogd进程已被HUP的日志。除了一些论坛上的一些帖子说这是逻辑上的观点之外，没有找到任何想法。任何想法如何解决/解决此问题。 messages-20141011:2014-10-10T04:02:02.054134-06:00 udr-oradl01 rsyslogd: [origin software="rsyslogd" swVersion="5.8.12" x-pid="364" x-info="http://www.rsyslog.com"] rsyslogd was HUPed messages-20141011:2014-10-11T04:02:02.079917-06:00 udr-oradl01 rsyslogd: [origin software="rsyslogd" swVersion="5.8.12" x-pid="739" x-info="http://www.rsyslog.com"] rsyslogd was HUPed messages-20150124:2015-01-24T04:02:01.497596-07:00 udr-oradl01 rsyslogd: [origin software="rsyslogd" swVersion="5.8.12" x-pid="819" x-info="http://www.rsyslog.com"] rsyslogd was HUPed

9 linux  rhel  vmware  rsyslog 

当我的内核启动时，除了有用的重要信息外，它还会打印许多调试信息，例如 .... kernel: [0.00000] BIOS-e820: [mem 0x0000000000000000-0x000000000009d3ff] usable kernel: [0.00000] BIOS-e820: [mem 0x000000000009d400-0x000000000009ffff] reserved kernel: [0.00000] BIOS-e820: [mem 0x00000000000e0000-0x00000000000fffff] reserved ... kernel: [0.00000] MTRR variable ranges enabled: kernel: [0.00000] 0 base 0000000000 mask 7E00000000 write-back ... kernel: [0.00000] init_memory_mapping: [mem 0x00100000-0xcf414fff] kernel: [0.00000] [mem 0x00100000-0x001fffff] page 4k kernel: [0.00000] [mem …

9 kernel  boot  logs  rsyslog  dmesg 

我有一台安装了Apache Tomcat 7.0的RHEL7服务器，并且在最近更新到RHEL7.1之后，所有到$ {catalina.base} /logs/catalina.out的日志记录都停止了。但是，我在journalctl中收到日志。 如果我输入journalctl -u tomcat，则会得到日志记录。我有什么办法可以将日志记录也发送到catalina.out吗？ cat /usr/share/tomcat/logs/catalina.out no output journalctl -u tomcat Aug 20 10:07:14 server.example.com server[26435]: at org.apache.jasper.servlet.JspServletWrapper.handleJspException(JspServletWrapper.java:549) Aug 20 10:07:14 server.example.com server[26435]: at org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:455) Aug 20 10:07:14 server.example.com server[26435]: at org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:390) Aug 20 10:07:14 server.example.com server[26435]: at org.apache.jasper.servlet.JspServlet.service(JspServlet.java:334) Aug 20 10:07:14 server.example.com server[26435]: at javax.servlet.http.HttpServlet.service(HttpServlet.java:727) …

9 rhel  rsyslog  tomcat  systemd-journald 

我使用rsyslog这样将日志从远程主机保存到服务器： 服务器： # Logfile for each host $template DynaFile,"/var/log/rsyslog/%HOSTNAME%.log" *.* -?DynaFile 客户： *.* @servername 这将为服务器中的每个客户端主机创建日志文件，/var/log/rsyslog/但还将每个消息也记录到服务器中/var/log/syslog。所以它真的很肿。如何防止/var/log/syslog它只包含来自服务器本身的消息？

8 rsyslog 

已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗？更新问题，使其仅通过编辑此帖子来关注一个问题。 5年前关闭。 在CentOS 7中，我如何找到并查看所有系统日志，这些日志告诉我谁试图进入系统，谁进入，他们联系了哪些流程，他们完成了哪些事情，等等。我希望能够将每个活动链接到其中一个用户ID或远程IP地址。 我的var/log/目录包含许多资源，包括/var/log/messages和/var/log/secure，但是大多数文件都是类型的Binary (application/octet-stream)，除非我将一些未知的查看程序与它们关联，否则操作系统不知道如何打开它们。另外，var/log/firewalld似乎没有包含有用的信息。 我可以找到我的应用程序，数据库和NginX / Apache生成的所有日志。

8 centos  logs  firewall  systemd  rsyslog 

在我的iptables中，我有一条记录被丢弃的数据包的规则： -A INPUT -i eth0 -j LOG --log-prefix "FW: " --log-level 7 -A INPUT -i eth0 -j DROP 在这方面/etc/rsyslog.conf，我还有另一个规则将这些日志发送到专用文件/var/log/firewall.log。 :msg, contains, "FW: " -/var/log/firewall.log & ~ 将& ~立即删除日志，因此它们不会淹没syslog或其他日志文件。 这很好，除了它会泛滥dmesg那些防火墙日志（而不是/var/log/dmesgcommand的输出dmesg）。 有没有办法防止这些日志显示在dmesg？

8 logs  iptables  rsyslog