我得到奇怪的消息在我的/ var / log / syslog是不正常的。 我正在Debian Wheezy机器中运行一个Debian Jessie LXC容器。 但我相信这不是问题。 他们的一个例子: 12月10日16:30:59 gtbono kernel:18ddr032 d:xwe24。] afi l1:tr g1 <4049Irfrxtr g1> 08Idfftng0470vr xh <14] orwre1> 08Idfftng03。] afi l1 [7] dwnh> 7] d wnh> 7] d wnham2acus <17] orwre1> 28Idfftng0488 cp wl 790aneion2 [80Pd:ihgt Dec 10 16:30:59 gtbono kernel:3.56cp wl 790 aneion2 [80Pd:ihgt Dec 10 16:54:55 […]
我一直在使用HAProxy两年,具有相同的工作configuration。 我已经在Ubuntu 14.04,15.10上多次安装了HaProxy,而且我正在从HaProxy的内存崩溃中解脱出来。 它不再有效。 我已经附加了我一直在使用的configuration以及我在下面的syslog中看到的错误。 我有几个月前创build的一些ubuntu服务器,它们运行的是相同版本的HAProxy,它们可以使用确切的configuration,但不知道确定问题的最佳方法。 版本信息: HA-Proxy version 1.5.14 2015/07/02 Copyright 2000-2015 Willy Tarreau <[email protected]> 如果你想尝试,你可以用www.cnn.com替代www.mywebsite.com。 haproxy.cfg global daemon maxconn 256000 user haproxy group haproxy stats socket /var/run/haproxy.sock mode 0600 level admin pidfile /var/run/haproxy.pid spread-checks 5 defaults maxconn 256000 log global option redispatch option allbackups option abortonclose option http-server-close timeout connect 5000 timeout client […]
我试图使用这样的.rb文件来parsing日志: version=2 rule=:%Server:char-to:\t%\t%stamp:char-to:\t%\t%ip:ipv4%\t%Site:char-to:\t%\t%BID:char-to:\t%\t%SID:char-to:\t%\t%LD:char-to:\t%\t%UserID:char-to:\t%\t%logged:char-to:\t%\t%event:char-to:\t%\t%User_Agent:char-to:\t%\t%Parameters:rest% 问题是这样的string只是工作“字符”任何其他像“string”或“rest”不想工作。 我把“char-to”的大部分内容都弄清楚了,但是仍然需要从一个angular度把所有的东西都放到最后。 我该怎么做?
在我的Ubuntu 14.04服务器上,我使用Postfix作为前端邮件服务器,并且我想将所有与邮件相关的信息( 包括电子邮件地址 )发送到远程主机。 在文件/etc/rsyslog.d/50-default.conf中我添加了这一行: *.* @192.168.1.21 所有syslog和smtpd相关的消息都发送到远程主机,但是,我错过了postfix / smtp事务的实际电子邮件地址。 有没有特殊的Postfix或Rsyslogconfiguration选项来实现这一目标?
我想将CoreOS日志聚合到Papertrail服务,它基本上提供了聚合日志logging的syslog端点。 这个设置的常见build议似乎是开始一个这样的服务: journalctl -f | ncat –ssl <host>.papertrailapp.com <port> 但这并不理想,因为它没有处理重启和远程端点停机时间,因为它没有任何类似rsyslogd的池,所以我会得到重复的日志和/或丢弃日志。 鉴于CoreOS没有包pipe理,有没有传统的方式来解决这个痛苦的?
如果我在ASA上特别排查某些问题,那么能够将我所看到的系统日志消息过滤到只有那些相关的东西通常很有用。 如果我正在排除类似VPN隧道的故障,那么我可以使用类似于“vpn”类来过滤: logging class vpn buffered 6 但是,如果我想对ACL进行故障排除,那么即使这些消息存在syslog“类别”,也没有类,因此从106开始。 如果我想过滤一个没有定义类的“类”,我应该做一些类似于下面的类,还是有更好的方法? logging list mylist message 106000-106999 logging buffered mylist 这显然假设我想login到内部缓冲区。 如果我想login到其他地方,我会适当地更改命令。 有什么特别的原因,为什么一些系统日志“类别”没有定义的类? 仅仅是为了避免使用less量经常使用的类名称来污染类名称空间呢? 非常感谢
我有一台CentOS 7服务器,用于从所有思科设备收集系统日志。 我去设置第二个系统日志服务器冗余。 我已经设置了一切,但我似乎无法让新的服务器接受networking上的syslogsforms。 如果我使用“logging器”命令,只要我在本地运行logging器,就可以将信息写入系统日志。 如果我从不同的服务器上运行它,这些消息不会被写入到系统日志中。 看起来,系统日志在本地工作,但不是当远程发送的时候。 rsyslog.conf文件在工作的其他服务器上完全相同。 我有良好的连接到新的服务器,我禁用了SElinux。 我不确定是否有人熟悉这个问题。 任何帮助将不胜感激。
我曾经经历过一些奇怪的事情。 我有filebeat监视我的rsyslog( syslog.log )文件,并将其发送到我的logstash。 我注意到,在重新启动syslog运行的filebeat后,syslogs在/var/log/user.log下创build了一个新的文件user.log ,用于logging日志。 但是,filebeat预计syslog.log是更新的,因为该文件没有更新什么是由filebeat发往我的logstash … 所以我的问题是,为什么user.log守护进程创build这个其他文件user.log ? 任何提示表示赞赏! 提前致谢! 问候
我有这个rsyslog设置: if $hostname == "9e4b657a-232c-4bb0-ab9b-7ee6b142c724" then /var/log/heroku.log & stop 我需要以这种方式修改这个设置,所以9e4b657a-232c-4bb0-ab9b-7ee6b142c724将停止写入9e4b657a-232c-4bb0-ab9b-7ee6b142c724 (即主机名)。 该设置只应该影响这个特定的文件,即不影响全局设置。 我怎样才能做到这一点?
几乎每次syslog-ng写入当前日志文件时,都会在6天前触及日志文件。 它不会将任何数据写入旧的日志文件,只是更新上次修改的时间戳。 日志文件的屏幕截图 我不是100%确定为什么它停止更新最近两天中午前的26日和27日文件上次修改的时间戳,但我认为这可能只是巧合。 在最近两天的这段时间,我重新启动了syslog-ng服务和VMware主机的系统日志服务,可能已经停止触摸旧文件。 话虽如此,我今天早上又重新启动了服务,现在还在发生。 我们目前正在从24个VMware主机获取日志。 每台主机的日志文件每天都会以一个新文件存储在自己的目录中。 这只发生在一台主机的日志文件上。 所有的主机名都非常相似(group1-esx01 … 08,group2-esx01 … 08,group3-esx01 … 08),所以它似乎不是一个过滤问题,解释了为什么它只发生在一个文件夹中的日志。 我们使用默认的syslog-ng.conf文件,并把我们的configuration放在conf.d目录下的一个文件中。 该文件看起来像这样: #Global network listener source s_network { network( ip("1.1.1.1") port(1514) max-connections(100) transport("tls") tls( key_file("/etc/syslog-ng/cert/PrivateKey.pem") cert_file("/etc/syslog-ng/cert/PublicKey.pem") peer_verify(optional-untrusted) ) ); }; #VMware #Dir for each host, file for each day. destination d_vmware { file( "/var/log/vmware/$HOST/$YEAR$MONTH$DAY.log" perm(0644) create_dirs(yes) ); }; #Only […]