我注意到postfix日志的问题,有些电子邮件传递状态的信息丢失。 该问题影响约1%的电子邮件。 “健康”日志: <server># grep 8EB992EFBB44 postfix_log/mail04.log Jun 5 03:09:29 mail04 postfix/smtpd[8537]: 8EB992EFBB44: client=xxx.xxx.xxx[xxx.xxx.xxx.xxx] Jun 5 03:09:29 mail04 postfix/cleanup[34349]: 8EB992EFBB44: message-id=<[email protected]> Jun 5 03:12:02 mail04 postfix/qmgr[76377]: 8EB992EFBB44: from=<[email protected]>, size=48845, nrcpt=1 (queue active) Jun 5 03:15:12 mail04 postfix/smtp[35058]: 8EB992EFBB44: to=<[email protected]>, relay=mx.baz.com[xxx.xxx.xxx.xxx]:25, conn_use=70, delay=343, delays=153/190/0/0.24, dsn=2.0.0, status=sent (250 ok) Jun 5 03:15:12 mail04 postfix/qmgr[76377]: 8EB992EFBB44: removed “破碎”日志: […]
使用Ubuntu 10.04.4 LTS和Squid3我想login到syslog-ng 编辑/etc/squid3/squid.conf并添加以下行: access_log syslog squid 正在编写日志,但程序名称“squid”正被添加到括号中,而对于其他日志,程序名称不是 Jul 25 17:26:23 ubuntuserver kernel: Jul 25 17:26:24 ubuntuserver named[1231]: Jul 25 16:17:56 ubuntuserver (squid): 我假设这是squid3告诉系统日志ng“我的程序名是(鱿鱼)”,我无法find任何地方configuration不同,因为我想删除括号。 在syslog-ng的configuration文件中,我已经有了输出日志的function,而$ PROGRAMmacros也包含了括号,表示它来自鱿鱼,因为这个页面表示如下: http : //www.balabit.com/网站/默认/文件/文件/ syslog-ng的pipe理员,guide_en.html / reference_macros.html 程序:发送消息的程序的名称。 请注意,$ PROGRAMvariables的内容可能不是完全可信的,因为它是由构build消息的客户机程序提供的。 我怎样才能删除括号?
我正在使用less量托pipePHP应用程序的服务器进行项目。 现在,每个服务器当前在本地loggingphp错误到/var/log/php/oops.log,但是我想实现一个解决scheme,我可以login到一个中央服务器并查看来自任何和所有服务器的错误日志条目托pipePHP应用程序。 我一直在做一些阅读,并且需要对步骤进行理智检查,以完成我的最终游戏。 更改php.ini error_log指令以login到“syslog”而不是“/var/log/php/oops.log” 在每个应用程序服务器上configuration/etc/rsyslog.conf以过滤PHP消息并将其转发到中央(远程)服务器 configuration中央服务器接受来自所有应用程序服务器(iptables等)的连接 我目前的系统configuration是centos 6.2(和几个.3),所有的盒子都使用rsyslog。 我是否在正确的轨道与上述步骤? 任何人都知道任何可能有帮助的分步资源?
我的主要要求是能够查看和对多台机器组合的日志进行简单的search。 但是,我希望解决scheme对其他(核心)系统的影响最小。 我没有任何实时的要求,这个过程可以是asynchronous的。 最初系统日志似乎是一个很好的select,但如果系统日志服务器死亡呢? 在最坏的情况下,核心系统的用户会看到错误,最好的情况是某些日志丢失。 于是我开始环顾四周,发现Logstash( http://logstash.net/ )。 目前我的想法是: 在每个服务器(运行系统的核心组件)上都有一个Logstash代理正在运行 代理monitores将日志文件发送到ElasticSearch群集 Logstash UI还有另一台服务器 那样: 没有单一的失败点 即使ES群集死亡,只有代理会受到影响 – 应用程序仍然乐于将日志写入文件 ES回来之后,代理将(希望)赶上并发送所有待处理的日志(Logstash足够聪明地这样做了吗?) 你认为这会起作用吗? 或者,也许你可以推荐其他解决scheme
我试图规范由Cisco Nexus框生成的系统日志消息。 问题:消息具有以下格式: <189>:yyyy mm dd hh:mm:ss UTC:text 这不是一个标准的Syslog消息,不显示主机名/ IP地址。 有人知道这些消息是如何生成的? 我可以调整Nexus本身的格式吗? /X
我发送给系统日志的消息有一些标签,如下所示: "[date] [text here] tags:tag1,tag2,tag3 [more text here]" 我已经有一个规则,只保存包含“tags:”文本的行到一个特定的文件。 如果该文件仅包含该消息的子string,在这种情况下只是date和标签部分,那将是非常好的。 rsyslog可以在保存之前对消息做一些处理/操作吗? 提前致谢。
我无法通过FreeBSD syslogd中的程序或工具进行过滤。 我补充说 local6.debug /var/log/test.log !testd *.debug /var/log/test.log 到我的/etc/syslog.conf并重新启动syslog守护进程。 然后,我写了一个Go程序testd ,向syslogd(facility“user”)发送一个“debug”消息,然后使用logger -p local6.debug "msg"发送一个额外的消息。 第一条消息仅logging到/var/log/messages (根据默认规则),但不logging到/var/log/test.log ,第二条消息根本没有logging。 规则似乎被忽略了?
我试图追查一下在我的CentOS盒上杀死我的mysql服务器的进程。 我在/etc/syslog.conf有以下设置: *.*;mail.none;authpriv.none;cron.none /var/log/messages 我认为这应该导致所有消息(包括内核消息)被logging到/var/log/messages , authpriv , mail和cron消息除外。 然而,当我查看/var/log/messages ,我没有看到任何似乎在杀死服务器的内核消息。 以下是/etc/syslog.conf文件的完整内容: # Log anything (except mail) # Don't log private authentication messages! *.*;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency […]
我在iptables中创build了规则来logging和编辑rsyslog.conf文件,将任何包含“iptables”的消息输出到不同的日志文件。 它似乎是login到这两个地方,默认邮件文件和我有新的ip.log文件。 我怎样才能login到新的? 这是rsyslog文件的内容: :msg, contains, "iptables" -/var/log/iptables.log & ~ 这是我在iptable中的规则: -I INPUT 1 -j LOG –log-prefix "iptables in: "
我试图设置一个rsyslog客户端(运行rsyslog 7.4.8),它将通过两种不同的SSLconfigurationlogin到两台远程服务器。 要做到这一点,它看起来像我需要从旧的configuration文件格式迁移到新的基于行动的格式。 如果我有以下的/etc/rsyslog.conf然后一切工作正常。 远程服务器接收消息,netstat显示从客户端到远程服务器的已build立的TCP连接: $ModLoad imuxsock.so $ModLoad imklog.so $DefaultNetstreamDriver gtls $ActionSendStreamDriverAuthMode anon $ActionSendStreamDriverMode 1 $DefaultNetstreamDriverCAFile /etc/pki/rsyslog/ca.pem $DefaultNetstreamDriverCertFile /etc/pki/rsyslog/local-cert.pem $DefaultNetstreamDriverKeyFile /etc/pki/rsyslog/local-key.pem *.* @@10.50.59.241:6514 从我能从rsyslog文档中收集到的信息,我应该可以按照以下方式做一些事情: $ModLoad imuxsock.so $ModLoad imklog.so $DefaultNetstreamDriverCAFile /etc/pki/rsyslog/ca.pem $DefaultNetstreamDriverCertFile /etc/pki/rsyslog/local-cert.pem $DefaultNetstreamDriverKeyFile /etc/pki/rsyslog/local-key.pem *.* action (type="omfwd" protocol="tcp" Target="10.50.59.241" Port="6514" StreamDriverMode="1" StreamDriver="gtls" StreamDriverAuthMode="anon") 但是这第二个configuration不起作用。 rsyslogd重新启动成功,所以我知道这个configuration没有语法错误。 但是netstat从来不会显示连接,即使试图连接远程系统日志服务器。 我错过了什么?