我正在运行Debian系统,并finddmesg命令的输出非常有用。 有人可以向我解释dmesg命令输出什么信息吗? 这与syslog中的kern。*消息是1:1相关的吗?
我有一个运行在Ubuntu 8.10上的Postfix邮件服务器,当/var/log/mail.log或任何其他文件达到正好2GB的数据时,syslog停止将任何数据写入文件。 是否有某种通过sysloglogging的文件的限制? 我正在和我的同事们讨论是否应该每小时对有问题的文件进行logrotate,希望能够阻止他们达到这个限制。 如果我们有2-3个小时的日志文件,那么当它们大到find任何大问题的时候就足够了。
我有一堆运行一堆应用程序的Windows服务器,login到本地文本文件。 我想将这些文本文件聚合成一个集中的日志服务器,在那里我可以search它们。 build造这样的东西是微不足道的,但在重新开始之前,我想知道是否已经有东西了? rsyslog会有帮助吗? 有没有Windows版本的? 它需要在Windows Server 2008上运行。
在我的standalone.xml ,我configuration了syslog-handler如下所示: <syslog-handler name="SYSLOG" enabled="true"> <level name="INFO"/> <hostname value="i-XXXXXXX"/> <formatter><syslog-format syslog-type="RFC3164"/></formatter> </syslog-handler> … <root-logger> <level name="INFO"/> <handlers> <handler name="SYSLOG"/> <handler name="CONSOLE"/> <handler name="FILE"/> </handlers> </root-logger> 然而,没有输出传递给/var/log/syslog 。 如果我用standalone.sh | logger启动jboss standalone.sh | logger ,我看到输出那里,所以我认为我的rsyslogd设置/合理工作(股票Ubuntu安装,FWIW)。
我想parsing一些自定义( networking设备 )系统日志文件来创build我自己的格式化输出。 由于我是syslog-ng&patterndb的新手,我一直在尝试使用文档来构build一个示例 – 到目前为止,我的工作是在这里: https : //gist.github.com/linickx/8002981 在这个例子中,我想读取syslog文件(testfile.log): Accepted password for sampleuser from 10.50.0.247 port 42156 ssh2 Accepted password for user from 10.51.0.27 port 4256 ssh2 输出用户名和IP地址列表,如: sampleuser; 10.50.0.247; user; 10.51.0.27; parsing日志文件我创build了以下patterndb(example.xml): <patterndb version='4' pub_date='2010-10-17'> <ruleset name='ssh' id='123456678'> <pattern>ssh</pattern> <rules> <rule provider='me' id='182437592347598' class='system'> <patterns> <pattern>Accepted @ESTRING:SSH.AUTH_METHOD: @for @ESTRING:SSH_USERNAME: @from @ESTRING:SSH_CLIENT_ADDRESS: @port @NUMBER:SSH_PORT_NUMBER:@ […]
我试图在Debian机器上configurationRSyslog,将所有东西都logging到PostgreSQL中,同时也照常在磁盘上logging日志。 我正在使用一个漂亮的股票Debianconfiguration,并阅读了http://www.rsyslog.com/doc/rsyslog_pgsql.html和http://www.rsyslog.com/doc/rsyslog_high_database_rate文档后激活了相关的configuration指令.html 。 它似乎工作,但消息写入磁盘或发送到PostgreSQL只有当我停止RSyslog,就像它缓冲一切,直到停止命令,并在closures之前写入所有内容。 虽然我可能不会丢失任何消息,但是这不是很方便,因为它引入了大量的延迟(我不知道它是否在closures之前甚至会丢弃任何东西?),有没有办法减less它,所以我可以一个正常的情况(服务器不忙),非常实时的日志? 这是我目前的configuration文件: $ModLoad imuxsock $ModLoad imklog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $FileOwner root $FileGroup adm $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 $WorkDirectory /var/spool/rsyslog $IncludeConfig /etc/rsyslog.d/*.conf auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log mail.info -/var/log/mail.info mail.warn -/var/log/mail.warn mail.err /var/log/mail.err news.crit /var/log/news/news.crit news.err /var/log/news/news.err news.notice -/var/log/news/news.notice *.=debug;auth,authpriv.none;news.none;mail.none -/var/log/debug *.=info;*.=notice;*.=warn;auth,authpriv.none;cron,daemon.none;mail,news.none […]
简要概述 :警报是否比严重更严重。 RFC 5424简要地定义了系统日志的严重级别并给出了一个简短的描述。 每个系统日志级别的代码为0-7。我的理解是0(紧急)是最严重的,7(debugging)是最less的。 然而,我在质疑1(警报)和2(关键)。 RFC 5424中的定义是: 警报:必须立即采取行动 危急:危急情况 然而,在这个网站上,他们给出了更长的描述(这显然是个人意见),但是将其定义为: 警告:应该立即纠正 – 通知可以解决问题的人员 – 例如备份ISP连接丢失 严重:应立即纠正,但指示主系统故障 – 解决ALERT之前的CRITICAL问题 – 示例是主ISP连接丢失 这看起来倒退了,因为它意味着Critical比Alert更严重,即使RFC 5424似乎将Alert设置为更严重。 我只是想知道是否有这个或任何最佳做法的官方立场?
我试图找出设置一个中心位置来存储和查询服务器日志的最佳方法。 syslog,Apache,MySQL等 我发现了几个不同的选项,但我不知道什么是最好的。 我在找很容易安装的东西,并在许多虚拟机上保持更新。 我可以将它添加到虚拟机模板中,但是我也希望它可以很容易地安装以保持虚拟机的复杂性。 我到目前为止发现的选项是: syslogd的 syslog-ng的 rsyslog现在 syslogd / syslog-ng / rsyslog到logstash / ElasticSearch 每个日志“客户端”中的logstash代理发送到Redis / logstash / ElasticSearch 以上各种各样的排列。 什么是日志“客户”angular度最有弹性和最轻的? 我想避免日志“客户端”挂起的情况,因为他们无法将其日志发送到日志logging服务器。 此外,我仍然想保持本地日志logging和logrotate提供的旋转/保留。 任何想法/build议或原因赞成或反对任何上述? 或完全不同的结构build议?
我试图在CentOS 6.4上configurationRsyslog 5.8.10,将Apache的错误和访问日志发送到远程服务器。 这工作,但我有几个问题。 更新 :A,B和C是唯一的答案。 A)我想用尽可能less的队列(和资源)。 我发送错误日志到服务器A,发送访问日志到服务器A,发送两个日志在一个stream到服务器B.我应该指定一个队列每个外部服务 (2个队列)或一个队列每个stream (3队列,因为我现在)? 这是我的: $ActionResumeInterval 10 $ActionQueueSize 100000 $ActionQueueDiscardMark 97500 $ActionQueueHighWaterMark 80000 $ActionQueueType LinkedList $ActionQueueFileName logglyaccessqueue $ActionQueueCheckpointInterval 100 $ActionQueueMaxDiskSpace 1g $ActionResumeRetryCount -1 $ActionQueueSaveOnShutdown on $ActionQueueTimeoutEnqueue 10 $ActionQueueDiscardSeverity 0 if $syslogtag startswith 'www-access' then @@logs-01.loggly.com:514;logglyaccess $ActionResumeInterval 10 $ActionQueueSize 100000 $ActionQueueDiscardMark 97500 $ActionQueueHighWaterMark 80000 $ActionQueueType LinkedList $ActionQueueFileName logglyerrorsqueue $ActionQueueCheckpointInterval 100 […]
再一次,我发现Rsyslog没有我想象的那么灵活… 我的应用程序logging到LOCAL5。* (取决于严重性) 我想在我的集中式日志服务器上只看到LOCAL5.WARNING及以上版本 我假设和testing local5.info ~ 但是这意味着阻止LOCAL5.INFO和ABOVE 我如何使它阻止LOCAL5.INFO和下面? build议请?