我有一个Apache httpd 2.2服务器。 我想用sysloglogging所有消息,以便将请求发送到我们的中央系统日志服务器。 我也希望确保所有的日志消息都被发送到本地磁盘上,以便系统pipe理员可以轻松访问本地系统上的日志文件。 很容易将HTTP访问日志发送到本地磁盘和系统日志。 一个常用的方法是: LogFormat "%V %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined CustomLog logs/access_log combined CustomLog "|/usr/bin/logger -t httpd -i -p local4.info" combined 但是这对于错误日志来说并不容易。 以下configuration不起作用,因为错误日志只使用最后一个ErrorLog节。 第一个ErrorLog节被忽略。 ErrorLog logs/error_log ErrorLog syslog:local4.error 我如何确保将Apache错误日志写入本地磁盘并发送到系统日志? 是否有可能做到这一点,而无需触摸/etc/syslog.conf ? 我很好,如果我的用户想要pipe理自己的Apacheconfiguration文件,但我不希望他们接触系统文件,如/etc/syslog.conf
今天我的Ubuntu 12.04服务器每小时开始一次崩溃。 实际上在每分钟32分钟。 这似乎是一个实际的内核崩溃,即没有什么/ var / log / syslog,它只是停止。 我甚至写了一个脚本,每秒打印一次,以确定确切的时间,看着下一次崩溃即将到来,最好的我可以告诉大约是一小时后的32分13秒。 但那时候我没有CRON的工作,什么也没有。 我所拥有的Perl脚本与我已经运行多年的Perl脚本没有任何特别之处。 大概几周以来,我还没有改变服务器上的任何东西,而且没有什么重要的。 我已经经历了我能find的所有计划任务的来源。 当时没有什么特别的事情发生,除了服务器崩溃而没有留下任何原因的痕迹。 当它崩溃的时候,我别无select,只能通过托pipe公司的网站重新启动它,这是我迄今为止的解决scheme,但现在已经是凌晨4点了,我必须在某个时间rest一下。 但如果我这样做,我的网站将在一个小时内下降。 任何帮助将不胜感激,要么a)如何find这个正在运行的任务,并导致崩溃,如果这是事实,或者b)如何跟踪发生什么,当它不出现在syslog或dmesg。 已解决 。 我联系了我的主人。 显然,他们安装了新的服务器监控软件,标志着我使用了太多的磁盘I / O。 而不是告诉我,他们的这个软件只是杀了我的服务器。 它每小时运行32分钟。
如果我安装splunk转发器,我可以将远程数据放入我的splunk安装中,然后索引我的日志,并search很好。 但是我有许多路由器设备和运行syslog的其他设备,并且可以将它们的日志导出到某个地方。 如何将Splunkconfiguration为接收这些日志,或者是否有其他解决方法可供使用?
php-cgi的死于一个vps我照顾和唯一的系统日志条目是这个,然后我重新启动虚拟机: ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@Jun 13 22:00:34 VM syslogd 1.5.0#5ubuntu4: restart. 之前的一切似乎都很好,php日志里没有任何东西,即使php超时是最明显的症状(nginx正在返回504s),任何想法如何debugging? 谢谢, 乔恩
我们使用LDAP来validation用户使用nslcd的用户设备,我们看到系统日志中的消息是这样的: /var/log/syslog.1:Dec 20 06:25:11 T53-1014-014 nslcd[1496]: [398c89] <passwd="*"> "*": name denied by validnames option /var/log/syslog.1:Dec 20 06:25:11 T53-1014-014 nslcd[1496]: [4fe9f9] <passwd="*"> "*": name denied by validnames option /var/log/syslog.1:Dec 20 06:25:14 T53-1014-014 nslcd[1496]: [b5af5c] <passwd="*"> "*": name denied by validnames option /var/log/syslog.1:Dec 20 06:25:15 T53-1014-014 nslcd[1496]: [1226bb] <passwd=-1> ldap_search_ext() failed: Can't contact LDAP server /var/log/syslog.1:Dec 20 […]
我需要检查/控制许多CheckPoint FW1上的所有系统事件 – 不要误会 – 不是规则触发,而是pipe理员login,规则更改等事件。 我发现我可以使用2种方法进行日志导出: 抓取日志 使用将Checkpoint日志条目redirect到syslog的特殊脚本FW1-Loggrabber 但是我不清楚这些日志是否还包含我需要的信息(pipe理员login,规则更改)? 如果是,是否可以过滤事件? 我还假设,如果系统基于* nix平台,它必须是一个基于系统function的系统来执行我想要的function。 不幸的是,我不知道在哪里“挖”。 可能是你知道吗? 更新 :新信息“FW-1可以通过Unix的logger命令将其日志传送到系统日志,并且有第三方日志读取实用程序” 所以,主要的问题是如何以最好的方式来完成我的任务? 有没有人已经解决了这个问题? PS我是新的CheckPoint,所有信息对我都有用。 谢谢。
集中式日志logging是一件好事,所有unix / linux / bsd机器都可以通过udp / tcp进行系统日志logging。 Windows服务器有事件日志。 我以前使用NTSyslog( http://ntsyslog.sf.net ),但我想知道是否有更好的解决scheme。 主要目标是logginglogin尝试(审计),软件和硬件错误。 有没有更好的方法比系统日志呢? 是否有更好的系统日志客户端的Windows周围?
我们正在使用swatch安装,通过3-5 gigabitnetworkingsyslog进行sorting,并提醒我们模式,我们正在使用splunk来索引和search数据,但splunk警报function严重不足。 我想知道什么是人们使用类似的警报要求。
我的Google-Fu让我如此接近,但还不够完美,我想我在Linux中太绿了,把它们放在一起。 我有一个非常大的> 200GB的日志文件,仍然被写入。 Logrotate在磁盘空间可能成为问题之前不会及时得到它。 另外,我不想logrotate另一轮logrotate ,因为我不希望它在其configuration中影响所有其他目标。 我已经在我的logrotate.conf文件中添加了新的节: /log/myDevice/myDevice.log { compress daily rotate 360 maxage 360 missingok compresscmd /usr/bin/xz dateext compressext .xz copytruncate olddir /log/archive/myDevice } 我想手动做这些事情: copytruncate:抓取当前的日志文件,但是允许syslog-ng保持当前的打开/活动文件 (不在logrotate.conf中) split :将当前日志分割成更小的块 xz :压缩到存档文件夹 我可以split(1)和xz(1)就好,但是当我试图抓住目标文件,没有骰子。 我尝试了sudo mv myDevice.log ZmyDevice.log && touch myDevice.log ,但syslog-ng只是移动原始文件(及其新名称),并保持愉快的写道。 自从我思考syslog-ng如何引用该文件以来,这个问题就有了一些改进。 所以我想弄清楚如何做一些手动的copytruncate ,以便将文件切换到原来的位置,并让syslog-ng保持原样。
从Squeeze升级一个Debian服务器后,我注意到内核日志消息(在/etc/syslogd.conf使用kern.* )现在显示为“vmunix”前缀,而前面有“内核”前缀。 这打破了一些日志监控脚本,虽然不难解决,我现在好奇这个变化的原因,因为我找不到任何地方这个configuration。 有没有人知道“vmunix”是从哪里来的?如果我愿意的话,我怎么能把它改回“kernel”?或者有什么好的理由不这样做?