我使用syslog和rsyslog来处理Linux和FreeBSD系统上的日志logging。 时间戳是目前在几秒钟,但我想提高这些时间戳的精度 ,包括毫秒。 这是可能的使用系统日志变种,如rsyslog(RedHat,Ubuntu)或系统日志在FreeBSD? 如果我确实增加了logging时间戳以包含微秒,这些时间戳有多准确? 如果事件发生在03:37:02:001,这是否意味着事件实际发生在毫秒级,或者当syslog写入事件时是否有延迟?
使用FreeBSD 8.0 32位。 我用ommysql安装了rsyslogd 5.5.5。 (安装ports / usr / ports / sysutils / rsyslog55和/ usr / ports / sysutils / rsyslog55-mysql) 我的rsyslog.conf文件如下所示: $ModLoad imudp $ModLoad imtcp $ModLoad ommysql $ModLoad immark.so $ModLoad imuxsock.so $ModLoad imklog.so $OptimizeForUniprocessor on $AllowedSender UDP, 10.0.0.0/8 $UDPServerAddress 0.0.0.0 $UDPServerRun 514 $UDPServerTimeRequery 2 # +SG560 *.* :ommysql:127.0.0.1,Syslog,sysloguser,mypassword rsyslogd的命令行标志是:-c5 -4使用-c5 -N1检查代码不会返回错误。 我已经确认rsyslogd正在通过改变最后一行来说: *.* /var/log/snapgear.log […]
我find了一些基于rsyslog日志条目内容的例子。 但有没有办法做到这一点,所以它只是过滤某个设施的内容? 比如像这样的东西: if local0.* msg contains "foo" 但用一个真正的语法,而不是我刚刚编造的。
我在运行Amazon Linux 2012.3的一些EC2实例上遇到了rsyslog的奇怪问题。 在yum升级rsyslog 4.6到5.8.10之后,似乎每个INFO级别的日志消息突然被当作EMERG级别的问题处理,并且他们正在到处广播。 从/etc/rsyslog.conf中注释掉*.emerg *压制这些消息,但显然这不是一个很好的解决scheme。 消息看起来像这样: Message from syslogd@hostname at Jul 13 19:35:07 … ¿<14>processname[1696]: INFO <yadayadayada> 我的大部分日志logging都来自一个Python 2.6logging器,带有一个logging.handler.SysLogHandler,我在下面发布了它的configuration。 我没有find任何关于这个具体问题的其他信息在网上,唯一似乎解决了这个问题是我回滚到rsyslog 4.6,即刻解决问题。 如果我坚持4.6,这不是一个悲剧,但是这个问题是非常令人不安的,并且让我怀疑我是否错误地configuration了一些刚刚更新的东西,直到我更新为止。 这是我的rsyslog.conf: #### MODULES #### $ModLoad imuxsock # provides support for local system logging (eg via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) #### GLOBAL DIRECTIVES […]
我有一个防火墙的路由器连接到两个虚拟的Lans。 第一个LAN是一个pipe理networking,第二个是DMZ。 DMZ中的我的虚拟机需要将syslog消息发送到pipe理员vlan中的syslog vm。 为了做到这一点,我必须启用从DMZ到我的pipe理员networkingsyslog的规则。 这意味着如果DMZ服务器受到攻击,可以用来攻击pipe理局域网上的系统日志服务器。 我假设系统日志服务器必须在pipe理员虚拟机上,因为它包含我不想在我的DMZ上的可变和敏感信息。 有没有办法安全地传输这些日志,而不暴露我的pipe理networking从DMZ的path?
Rsyslog与Syslogconfiguration文件向后兼容。 syslog.conf手册页包含: 您可以用减号“ – ”符号前缀每个条目,以便在每次logging后省略同步文件。 请注意,如果系统在写入尝试后崩溃,则可能会丢失信息。 尽pipe如此,这可能会给你一些性能,特别是如果你运行使用非常详细的日志logging的程序。 但是我找不到有关man rsyslog.conf 。 什么是rsyslog时,如果读取-在configuration文件?
所以..我已经安装Logstash,而不是使用logstash托运人(因为它需要JVM,通常是巨大的),我使用rsyslogd以下configuration。 # Use traditional timestamp format $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $IncludeConfig /etc/rsyslog.d/*.conf # Provides kernel logging support (previously done by rklogd) $ModLoad imklog # Provides support for local system logging (eg via logger command) $ModLoad imuxsock # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything […]
我们有名称匹配某种模式但频繁更改的日志文件。 有没有办法指定rsyslog的通配符或模式通过InputFileName包含? 例: InputFileName:/path/to/logs/*_error.log 使用上面的例子导致: 9351.070404487:7fd07e9be700:strm 0x7fd070004260:打开错误2,文件'/path/to/logs/*_error.log':没有这样的文件或目录 有没有办法指定一个rsyslog文件的模式来包含,以便与模式匹配的所有日志文件将被包括在内?
在/etc/rsyslog.d/文件中,我有以下内容: local3.* /var/log/mylog.log 当我login到这个设施时,logging的时间戳看起来像这样: Apr 27 21:12:20 hostname msg 我如何设置它们,使它们看起来像这样呢? 2014-04-27T21:12:20 hostname msg
在Rackspace上运行一个Ubuntu Trusty 14.04.1 LTS服务器,但是最近在运行bash更新之后,又重新启动了xen主机漏洞,我有以下奇怪的问题。 一些随机的auth.log条目会popup过时的同步,例如: Oct 14 12:12:10 myserver sshd[2097]: pam_unix(sshd:session): session closed for user Oct 13 12:58:30 myserver sshd[2522]: Failed password for foo from 21.21.21.21 port 1490 ssh2 Oct 14 12:21:28 myserver sshd[3389]: Accepted password for bar from 22.22.22.22 port 61173 ssh2 我也有一个单独的cron.log,(我改变了rsyslog的configuration),但是也有随机过期的同步项目,例如: Oct 14 07:11:01 myserver CRON[32099]: (root) CMD Oct 13 03:16:01 myserver […]