Tag: rsyslog现在

在新贵脚本中将应用程序日志redirect到rsyslog

我有一个暴发户脚本,执行以下操作 start on runlevel [2345] stop on runlevel [06] respawn pre-start script exec >/dev/kmsg 2>&1 REPO=git@github.com:blabla/bli mkdir -p /var/log mkdir -p /var/www echo "Fetching app from $REPO" girror $REPO /var/www if [ -f /var/www/package.json ]; then echo "Installing npm modules" cd /var/www npm install fi end script post-stop script exec >/dev/kmsg 2>&1 echo "stopped" end […]

Rsyslog:放弃特定的消息,速率限制

我已经在服务器上安装了netatalk , afpd正在垃圾邮件系统日志中出现以下错误: Jun 24 15:38:16 TEST afpd[21532]: sys_getextattr_size: error: Operation not supported 我不知道这是什么实际的根本原因,所以我试图通过添加以下行到rsyslog.confconfiguration文件中放弃此错误消息: if ($programname == 'afpd') then ~ 它不再被logging,但它看起来像afpd仍然logging了很多: Jun 24 15:46:31 TEST rsyslogd-2177: imuxsock lost 13 messages from pid 35381 due to rate-limiting Jun 24 15:46:31 TEST rsyslogd-2177: imuxsock begins to drop messages from pid 34080 due to rate-limiting 35381和34080是一些PID。 当我禁用速率限制( $SystemLogRateLimitInterval […]

使用rsyslog远程logging到特定的目录结构

我目前正在让所有的各种服务器把系统日志消息发送到中央服务器。 我想要在中央服务器上有以下目录结构的日志发送到。 <root_dir>/<server_name>/<year>/<month>/<day>/{messages, mail, auth, etc}.log 这是我可以单独与rsyslog模板做什么,或者我需要使用另一个实用程序将文件移动到正确的文件位置?

IPTables自定义日志失败

我目前正在试图从kern.log中将一些IPTableslogging分成一个名为iptables.log的文件。 基本上,我有几个不同的适配器,我logging每个端口80的请求。 这些规则正在工作,输出到kern.log罚款。 这是一个例子: -A INPUT -d 192.168.100.10 -p tcp -m tcp –dport 80 -j LOG –log-prefix "[10010] REQUEST Port 80: " –log-level 7 我做了以下尝试分离出我想要的: 在/ var / log中创build了一个具有644权限的iptables.log文件 在/etc/rsyslog.d/创build一个iptables.conf文件,其内容如下:msg,contains,"[10010] REQUEST Port 80: " -/var/log/iptables.log 编辑/etc/rsyslog.conf以包含以下行: kern.debug /var/log/iptables.log 重新启动rsyslog: service rsyslog restart 尽pipe如此,我的“[10010]”东西仍然被写入到kern.log文件而不是iptables.log中。 任何帮助这个问题将不胜感激。

kibana:没有索引错误

现有的答案都没有帮助,所以这里有一个新的问题。 用例 :redirectsyslog(或)监视静态文件。 我已经成功安装logstash(1.4.2),elasticsearch(1.1.1)和kibana(3.0.1),但努力摆脱错误 No results There were no results because no indices were found that match your selected time span 我可以访问http://example.com:9200 – >成功200邮件 访问http://example.com:9200/_aliases?pretty – > {} – >空字典! CLI /opt/logstash/bin/logstash -f </etc/logstash/conf.d/10-syslog.conf> 使用的示例logstash文件如下所示。 请让我知道,如果有什么需要从我的结束。 syslog(监听端口9000,是的,我已经添加了“@@ localhost:9000”到/etc/rsyslog.d/50-default.conf并重新启动rsyslog) sudo cat > /etc/logstash/conf.d/10-syslog.conf <<EOF input { tcp { port => 9000 type => syslog } udp […]

使用rsyslog远程logging – 无法加载模块lmnsd_gtls.so

我有两台服务器和一台办公室NAS,我希望这两台服务器能够转储他们的日志。 只有一台服务器成功login到NAS。 其他服务器继续在/ var / log / messages中生成此错误消息: May 16 09:01:01 elmer rsyslogd-2068: could not load module '/usr/lib64/rsyslog/lmnsd_gtls.so', rsyslog error -2078 [try http://www.rsyslog.com/e/2068 ] 两台服务器都运行CentOS 7(4.0.2-x86_64),两台服务器都安装了rsyslog-gnutls,其中有一个小例外(见下文): Installed Packages Name : rsyslog-gnutls Arch : x86_64 Version : 7.4.7 Release : 7.el7_0 Size : 33 k Repo : installed From repo : updates Summary : TLS protocol […]

一个单独的日志数据如何发送到远程rsyslog服务器?

我有多个apache2 web服务器的消息logging到rsyslog服务器。 我使用了一个模板,根据服务器的IP地址,将每个/var/log/syslog文件分隔到自己的文件夹中 从我的rsyslog服务器 #/etc/rsyslog.conf $template FILENAME,"/var/log/%fromhost-ip%/syslog.log" 后来,我决定添加更多的日志到日志。 从我的一个Web服务器 #/etc/rsyslog.conf $ModLoad imfile $InputFileName /var/log/customFile.log $InputFileTag custom-log $InputFileStateFile myfile $InputFileSeverity info $InputFileFacility local3 $InputFilePollInterval 1 $InputFilePersistStateInterval 1 $InputRunFileMonitor local3.* @@192.168.1.20:514 现在,正如所料,来自/var/log/customFile.log的日志将进入/var/log/customFile.log中的rsyslog服务器。 我想要发生的事情还有这些日志去一个单独的文件。 所以,在我的rsyslog服务器上,我希望我的/var/log/192.168.1.x/目录仍然有一个syslog.log文件,包含来自该服务器的所有日志,但也有一个customLog.log文件只是来自/var/log/customFile.log的imfile信息的日志 有什么办法可以在rsyslog服务器上分离出来吗?

Upstart作业日志不被rsyslog转发 – Ubuntu 14.04 LTS

我有rsyslog设置正确转发一组客户端上的所有日志到中央服务器。 像sshauthentication日志等工作正常,并出现在远程服务器正常。 问题是,我有我的应用程序定制新贵的作业login到/var/log/upstart/app-name.log,我不知道如何获得rsyslog发送到中央服务器的东西。 我监视了networkingstream量,并且日志行甚至没有发送,所以这不是接收服务器有某种filter的问题,客户端甚至不尝试。 有任何想法吗? 我在新贵中使用标准console log节(尽pipe它在现代ubuntu中是默认的)。 我的客户rsyslogconfiguration是香草,除了: #send to logging server *.* @10.0.0.74:514 它位于默认文件的顶部,适用于所有标准日志事件。 有什么想法吗?

内存使用456 MB后Rsyslog挂起

我使用rsyslog服务器来保存各种服务器的日志。 最近我在rsyslog中添加了20台服务器,之后rsyslog频繁挂起服务(服务重启之前没有收到日志)。 我观察内存使用情况,当内存达到456MB,然后挂起。 我怎样才能摆脱这个问题。 Rsyslog服务器有16 GB RAM,使用不超过2 GB。 你好, 感谢您的快速回复,请find您需要的日志。 sudo cat / var / log / messages | grep rsyslog [root @ rsyslog〜]#cat / var / log / messages | grep rsyslog Sep 4 23:38:54 rsyslog rsyslogd: – MARK – Sep 5 11:25:08 rsyslog rsyslogd: – MARK – Sep 5 15:50:12 rsyslog kernel:imklog 5.8.10,log […]

rsyslog:如何将日志文件中的事件分割成单独的文件,如果它包含关键字?

我正在接收.log文件中的syslog数据。 该文件包含两种types的事件。 只包含syslogdate时间标记的事件和包含syslogdate时间标记的事件以及消息中的“timestamp =”字段。 使用规则,如何将包含“timestamp =”的任何事件拆分为单独的文件?

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.