我使用的是Ubuntu Server 10.04.4,偶尔服务器挂起(一个月一次),完全没有响应。 tty充斥着像这样的信息 。 问题是重新启动后,这些消息不在我的日志文件中。 如何logging这些消息以便日后分析? 在目前的日志中,我看不到任何会告诉我为什么会发生这种情况。 如果有人能从这些消息中看出发生了什么,我也会很感激。 该服务器是来宾虚拟机。 主机服务器也是带有KVM / QEMU的Ubuntu服务器10.04。
我试图编译rsyslog,但它失败了 CC rsyslogd-smtradfwd.o CC rsyslogd-iminternal.o CC rsyslogd-pidfile.o CCLD rsyslogd ../runtime/.libs/librsyslog.a(librsyslog_la-parser.o): In function `uncompressMessage': /home/pate/cs/csbox/local/build/linux-debian-x86_64-6/rsyslog/rsyslog-5.8.12/runtime/parser.c:247: undefined reference to `uncompress' collect2: ld returned 1 exit status make[2]: *** [rsyslogd] Error 1 make[2]: Leaving directory `/home/pate/cs/csbox/local/build/linux-debian-x86_64-6/rsyslog/rsyslog-5.8.12/tools' make[1]: *** [all-recursive] Error 1 make[1]: Leaving directory `/home/pate/cs/csbox/local/build/linux-debian-x86_64-6/rsyslog/rsyslog-5.8.12' make: *** [all] Error 2 从我可以在网上find它与zlib有关,但我真的不知道该怎么做添加。 Zlib未安装在系统范围内,而是安装在特定的文件夹中,并且LD_LIBRARY_PATH设置正确。 谢谢阅读
我使用Ubuntu的服务器。 我尝试在我的rsyslog.conf中设置filter,只接受来自我的D-link的远程日志。 那就是debugging Debug line with all properties: FROMHOST: 'fromname', fromhost-ip: '192.168.1.1', HOSTNAME: 'DSR-500N', PRI: 4, syslogtag 'KERNEL', programname: 'KERNEL', APP-NAME: 'KERNEL', PROCID: '-', MSGID: '-', TIMESTAMP: 'Oct 2 17:44:08', STRUCTURED-DATA: '-', msg: ' [Kernel] LOG_PACKET[ACCEPT] IN=WAN SRC=11.11.11.11 DST=22.22.22.22 PROTO=ESP SPI=0xf9861ec ' escaped msg: ' [Kernel] LOG_PACKET[ACCEPT] IN=WAN SRC=77.77.77.77 DST=66.66.66.66 PROTO=ESP SPI=0xf9861ec ' rawmsg: '<4>Oct […]
从外部应用程序login到系统日志时,我观察到以下行为:如果将格式良好的系统日志消息发送到UDP套接字,rsyslog会正确parsing它,但是,如果将相同的消息发送到UNIX域套接字(/ dev / log),它根本就没有被parsing(rsyslog基本上假定,他收到的所有东西都是一个消息,所以没有时间戳,没有任何东西)。 有问题的信息是 <142>1 2010-12-29T11:11:11Z foo bar 123 baz – A Message 这被parsing为 Dec 29 11:11:11 foo bar[123] A Message 除非不是。
我试图放弃这样的行: httpd: – – – – [03/Jun/2013:23:04:10 +0000] "-" 408 – "-" "-" 32 – 基于这些文档,我认为这样做就足够了: :msg, contains, "408 -" ~ 我知道这不是一个好的模式,因为它可以匹配太多其他的东西,但我只是想让它工作。 目前它不起作用,行结束在日志文件和远程服务器。 我有第二个:msg ,包含在下面,那一个工作。 是:msg由于某种原因, :msg不是这一行的正确字段? 以下是完整的rsyslog.conf : $ModLoad imuxsock $ModLoad imklog.so $ActionQueueType LinkedList # use asynchronous processing $ActionQueueFileName srvrfwd # set file name, also enables disk mode $ActionResumeRetryCount -1 # infinite retries on […]
我正在使用RPM来安装二进制文件和一些configuration文件到CentOS。 我的问题是,我需要find一种方法来设置RPM安装过程中的rsyslog规则。 到目前为止,我刚刚在文件顶部附近手动添加行。 除了在spec文件中使用sed添加行之外,我还有什么select?
我正在计划一个集中的日志服务器,用于200多个Linux机器,在客户端和服务器端都有rsyslog。 这是我的要求: 不要在Linux上本地logging任何东西,并将所有内容发送到集中式日志服务器。 如果集中式日志服务器崩溃,那么 我如何告诉客户在本地开始logging? 要么 如果中央日志服务器发生故障,最好的select是什么?
我有一个rsyslog服务器运行v7.4.3接收stream的格式为: <PRI>Date hostname app: name=VALUE message 我需要做的是将VALUE从消息中提取出来,并将其logging在/var/log/VALUE/syslog.log 我可以使用正则expression式从消息中得到“name = VALUE”,但不知道如何去除“name =”或将其转换为path。 有任何想法吗?
我在使用Iptables日志时遇到了麻烦,我无法从kern.log,syslog和消息文件中取出它们。 我在rsyslog.conf中添加了两条将我的消息redirect到“iptables.log”文件的规则,但日志也存在于kern日志中。 这是我的rsyslog.conf: ############### ####规则#### ############### #iptables :msg,包含“IPT IN / DP:” – / var / log / iptables.log :msg,包含“IPT6 IN / DP:” – / var / log / iptables.log &〜 # #首先是一些标准的日志文件。 按设施logging。 # auth,authpriv。* /var/log/auth.log *。*; auth,authpriv.none,cron.none – / var / log / syslog cron。* /var/log/cron.log 守护进程。* – / var / log / daemon.log […]
使用tlsconfigurationstreamdriver.authmode并使用PermittedPeer或streamdriver.authmode名称时,如果未经授权的对端连接,rsyslog会logging下面的错误消息。 Jan 22 08:56:38 test rsyslogd-2089: netstream session 0x7f177401b740 from 10.0.0.7 will be closed due to error [try http://www.rsyslog.com/e/2089 ] Jan 22 08:56:38 test rsyslogd-2088: error: peer name not authorized – not permitted to talk to it. Names: DNSname: *.test.com; DNSname: test.com; CN: *.test.com; [try http://www.rsyslog.com/e/2088 ] 如果客户端是持久的,rsyslog会logging数以千计的这些消息。 有没有办法告诉netstream驱动程序不logging太多这些? 我不介意看到他们弄清楚哪个客户端configuration错误或可能被滥用,但是这些客户端太多了。 我目前正在使用下面的条目,完全丢弃这些消息。 :msg, contains, "peer name […]