我在这里find了以下内容: 重要提示:在Linux上,你需要在path名之前加一个“ – ”字符,例如 – / var / log / maillog,否则syslogd进程将使用比Postfix更多的系统资源。 但文件没有给出任何理由。 那么,为什么这个“ – ”是需要的呢?
我有一堆运行一堆应用程序的Windows服务器,login到本地文本文件。 我想将这些文本文件聚合成一个集中的日志服务器,在那里我可以search它们。 build造这样的东西是微不足道的,但在重新开始之前,我想知道是否已经有东西了? rsyslog会有帮助吗? 有没有Windows版本的? 它需要在Windows Server 2008上运行。
我刚在我的Ubuntu服务器上安装了postfix,并试图debugging为什么不发送邮件。 这使我发现/var/log/mail.log文件丢失。 对于这个问题,我的/ var / log中没有任何名为mail *的东西。 我试过以下无济于事: 创build一个mail.log并将所有者+组更改为postfix 重新启动postfix和rsyslog 删除虚拟日志并重新启动服务,然后发送邮件 sudo apt-get remove rsyslog / sudo apt-get install rsyslog 运行postconf syslog_facility返回syslog_facility = mail 任何其他的想法?
我正在与rsyslog通过多跳。 我想要的是以下,我不想在msg中的短主机名我只想要的IP。 所以发送消息的服务器,我不希望它添加其短主机名到正在发送的消息,我只想要服务器的IP。 我正在使用RHEL 5.5和rsyslog 3.22.1.3 有任何想法吗?
我正在使用模板来dynamic生成rsyslog文件名。 我已经对原始格式做了一些修改,但是rsyslog在重新启动后似乎还是使用了新模板和旧模板。 我的文件名模板是这样的: $template RemoteDailyLog,"/var/log/remote/%hostname%/%$year%/%$month%/%$day%.log" 对此: $template RemoteDailyLog,"/var/log/remote/%hostname%/%fromhost-ip%/%$year%/%$month%/%$day%.log" 我停止rsyslogd使用service rsyslog stop rsyslog service rsyslog stop ,使用rm -rf /var/log/remote/*删除所有的日志文件,然后用service rsyslog start rsyslog service rsyslog start重新启动rsyslogd。 问题是rsyslog似乎是build立types"/var/log/remote/%hostname%/%$year%/%$month%/%$day%.log"文件夹结构(即没有远程IP) ,它不再出现在我的configuration中的任何地方。 是否有可能旧的日志或configuration数据已被caching在某个地方,并通过服务器重新启动保存? 这正在让我有一点点。
在我的standalone.xml ,我configuration了syslog-handler如下所示: <syslog-handler name="SYSLOG" enabled="true"> <level name="INFO"/> <hostname value="i-XXXXXXX"/> <formatter><syslog-format syslog-type="RFC3164"/></formatter> </syslog-handler> … <root-logger> <level name="INFO"/> <handlers> <handler name="SYSLOG"/> <handler name="CONSOLE"/> <handler name="FILE"/> </handlers> </root-logger> 然而,没有输出传递给/var/log/syslog 。 如果我用standalone.sh | logger启动jboss standalone.sh | logger ,我看到输出那里,所以我认为我的rsyslogd设置/合理工作(股票Ubuntu安装,FWIW)。
我已经configurationrsyslog.conf,使我的程序的日志logginglocal0设施。 我也阻止了login消息。 *.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages local0.* -/var/log/myprogram.log 我看到,在系统重新启动时,当我运行我的程序日志进入/var/log/messages而不是在/var/log/myprogram.log 如果我要杀死/sbin/rsyslogd然后重新启动 – rsyslogd -i /var/run/syslogd.pid -c 5 – 事情没有问题。 没有login/var/log/messages但在/var/log/myprogram.log 这种行为的原因是什么?
我希望rsyslog以JSON格式编写日志消息,这需要在string周围使用双引号(“)。 问题是有些时候值包括双引号本身,而那些需要逃避 – 但我不知道如何做到这一点。 目前我的rsyslog.conf包含这个格式,我使用(有点简化): $template JsonFormat,"{\"msg\":\"%msg%\",\"app-name\":\"%app-name%\"}\n",sql 但是当包含双引号的消息到达时,JSON被破坏,例如: user pid=21214 uid=0 auid=4294967295 msg='PAM setcred: user="oracle" exe="/bin/su" (hostname=?, addr=?, terminal=? result=Success)' 变成: {"msg":"user pid=21214 uid=0 auid=4294967295 msg='PAM setcred: user="oracle" exe="/bin/su" (hostname=?, addr=?, terminal=? result=Success)'","app-name":"user"} 但是我需要的是: {"msg":"user pid=21214 uid=0 auid=4294967295 msg='PAM setcred: user=\"oracle\" exe=\"/bin/su\" (hostname=?, addr=?, terminal=? result=Success)'","app-name":"user"}
我试图在Debian机器上configurationRSyslog,将所有东西都logging到PostgreSQL中,同时也照常在磁盘上logging日志。 我正在使用一个漂亮的股票Debianconfiguration,并阅读了http://www.rsyslog.com/doc/rsyslog_pgsql.html和http://www.rsyslog.com/doc/rsyslog_high_database_rate文档后激活了相关的configuration指令.html 。 它似乎工作,但消息写入磁盘或发送到PostgreSQL只有当我停止RSyslog,就像它缓冲一切,直到停止命令,并在closures之前写入所有内容。 虽然我可能不会丢失任何消息,但是这不是很方便,因为它引入了大量的延迟(我不知道它是否在closures之前甚至会丢弃任何东西?),有没有办法减less它,所以我可以一个正常的情况(服务器不忙),非常实时的日志? 这是我目前的configuration文件: $ModLoad imuxsock $ModLoad imklog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $FileOwner root $FileGroup adm $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 $WorkDirectory /var/spool/rsyslog $IncludeConfig /etc/rsyslog.d/*.conf auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log mail.info -/var/log/mail.info mail.warn -/var/log/mail.warn mail.err /var/log/mail.err news.crit /var/log/news/news.crit news.err /var/log/news/news.err news.notice -/var/log/news/news.notice *.=debug;auth,authpriv.none;news.none;mail.none -/var/log/debug *.=info;*.=notice;*.=warn;auth,authpriv.none;cron,daemon.none;mail,news.none […]
我configurationrsyslog加载TLS模块(谈谈loggly),我得到这个错误: Jun 20 13:14:00 feynman rsyslogd-2068: could not load module '/usr/lib/rsyslog/lmnsd_gtls.so', rsyslog error -2078 [try http://www.rsyslog.com/e/2068 ] 该页面, http : //www.rsyslog.com/e/2068 ,说应该有附近的另一个错误消息。 至less在/ var / log / syslog中,这是我所看到的: Jun 20 13:17:01 feynman rsyslogd: [origin software="rsyslogd" swVersion="5.8.6" x-pid="22276" x-info="http://www.rsyslog.com"] start Jun 20 13:17:01 feynman rsyslogd: rsyslogd's groupid changed to 103 Jun 20 13:17:01 feynman rsyslogd: rsyslogd's […]