Tag: rsyslog现在

Ubuntu系统日志:在日志轮转之后,没有任何东西写在/ var / log / syslog上

现在我已经运行了Ubuntu VPS几个星期了,所以yestarday发生了几个月的日志轮换。 对于像/var/log/wtmp东西,看起来和预期的一样: logfile具有最近的条目,而logfile.1较早的条目。 但是,即使在重新启动rsyslog之后, /var/log/syslog现在也是空的。 有任何想法吗? 我应该提到,这不是类似的问题Syslog不logging任何东西的重复。 由于我没有修改任何默认设置, /var/log/syslog默认包含在/etc/rsyslog.d/50-default.conf : *.*;auth,authpriv.none -/var/log/syslog 提前致谢。

如何configurationsyslogd名称/标识符?

我将所有系统日志事件转发到papertrailapp.com,并将其标识为由localhost发送。 这是不方便的,因为我有几个服务器,他们都是localhost 。 我如何在每台机器上configurationsyslog以拥有自己的唯一名称?

rsyslog – 正则expression式的麻烦

我正在设置logentries服务。 如果日志条目有一个令牌,那么我想把它发送到api.logentries.com:10000。 令牌是格式为aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee的guid。 现在我正在做: # If there's a logentries token then send it directly to logentries :msg, regex, ".*[a-z0-9]{8}-[a-z0-9]{4}-[a-z0-9]{4}-[a-z0-9]{4}-[a-z0-9]{12}.*" & @@api.logentries.com:10000 我检查了rsyslogdebugging日志和我的正则expression式不匹配,但我不知道为什么或如何解决它: 5245.961161378:7fb79b514700: Filter: check for property 'msg' (value ' fb1c507f-2ede-4d7f-a140-2bd8d56e133 – application – [play-akka.actor.default-dispatcher-1] – Found user: 4fb11ea5e4b00a1aeebe2800') regex '.*[a-z0-9]{8}-[a-z0-9]{4}-[a-z0-9]{4}-[a-z0-9]{4}-[a-z0-9]{12}.*': FALSE

rsyslogconfiguration语法

我需要对某些日志消息采取几个操作。 例如,我想根据严重性将它们logging到不同的文件。 一切都好,如果我使用这个: if $programname == 'myprog' then -/var/log/myprog.log if $programname == 'myprog' and $syslogseverity-text >= 'warning' then -/var/log/myprog-alert.log if $programname == 'myprog' ~ 这个日志logging每个由'myprog'发送到/var/log/myprog.log的消息 这个只logging日志的警告和'myprog'发送到/ var / log / myprog-alert.log的错误信息 然后停止处理(感谢'〜') 。 我喜欢有更性感的东西: if $programname == 'myprog' then { *.* -/var/log/myprog.log *.warning -/var/log/myprog-alert.log ~ } 但是这个后来的构造虽然被rsyslog所接受,但是并不过滤程序名。 例如,即使从任何进程发起,每个消息都被写入/var/log/myprog.log。 。 任何人都可以解释我的错误或误解? 。 最后的方法,从下面的答案: 使用“现代”的rsyslogd。 版本> 7.xy […]

使用rsyslog转发结构化数据

我们有一个Java应用程序通过syslog将结构化数据(MDC与log4j)logging到本地主机上的rsyslog(7.6.3)。 然后localhost应该将这些日志消息转发到一个中央日志logging主机(也运行rsyslog(7.4.4)),它将格式化日志消息并将其分发到文件中。 问题是我们看到本地主机上的结构化数据(通过将%rawmsg%logging到文件中),但在日志logging服务器上收到的%rawmsg%没有结构化数据。 通过UDP完成排除。 我们如何通过rsyslog将结构化数据作为结构化数据传输?

通过tls将日志从rsyslog转发到graylog

我试图通过tls从rsyslog转发日志到graylog。 rsyslogconfiguration: # make gtls driver the default $DefaultNetstreamDriver gtls # # # certificate files $DefaultNetstreamDriverCAFile /etc/ssl/rsyslog/ca.pem $DefaultNetstreamDriverCertFile /etc/ssl/rsyslog/rsyslog-cert.pem $DefaultNetstreamDriverKeyFile /etc/ssl/rsyslog/rsyslog-key.pem # $ActionSendStreamDriverAuthMode x509/name $ActionSendStreamDriverPermittedPeer graylog.mydomain.com $ActionSendStreamDriverMode 1 # run driver in TLS-only mode *.* @@graylog.mydomain.com:6514 # forward everything to remote server 我生成了必要的证书,如rsyslog文档中所述: certtool –pkcs8 –generate-privkey –outfile ca-key.pem certtool –pkcs8 –generate-self-signed –load-privkey ca-key.pem –outfile ca.pem […]

如何将应用程序日志转发到远程日志服务器?

我有一个应用程序,它将自己的日志文件写入/var/log/app/app.log 。 如何将这些日志转发到远程Rsyslog服务器?

pipe道程序输出到rsyslog

我有一个运行的进程,把它的输出写入一个文件,就像这样。 processx > /var/log/processx.log 2>&1 我怎么会写/pipe/转发给rsyslog而不是(包括2>&1redirect)?

从rsyslog转发到TCP上的syslog-ng不起作用(尽pipe数据包到达服务器)

我们在中央系统日志服务器上使用syslog-ng(CentOS 5.9上的syslog-ng-2.1.4-9.el5)。 我们很高兴地使用syslogd和rsyslog从Linux和Solaris主机上通过UDP的混合发送日志,直到昨天终于明白我们正在失去大量的条目(是的,我应该注意到所有的警告)。 我试图改变使用TCP。 我很想(现在)坚持syslog-ng在中心和rsyslog发件人,我的理解是,这应该工作。 中央系统日志服务器有多个虚拟接口,用于按function分割日志集(这就是udp()和tcp()语句指定要绑定的IP地址的原因)。 我在syslog-ng一端启用了TCP侦听器(请参阅下面的configuration文件中提取的内容)–netstat -l显示端口514上的侦听器。作为testing,我在一台主机上更改了转发子句(CentOS 6.4 with rsyslog-5.8.10-6 .el6.x86_64)从@unixlog到@@ unixlog。 我看到数据包到达中央服务器并返回数据包(在unixlog上查看tcpdump),所以我认为我已经消除了iptables的问题,但输出文件中没有任何内容。 我只是试着关掉iptables一段时间来检查这个 – 同样的事情。 我还没有试过打开syslog-ng的debugging,因为这是一个繁忙的服务器 – 我的下一步可能是build立一个testingsyslog-ng服务器,并指向一个单一的主机。 在我这样做之前还有什么我应该看的? 我是否需要更改转发邮件的格式? 我对Syslog-ng 2.x文档的阅读表明,这应该没有任何改变。 我已经尝试更改rsyslog调用的兼容级别选项。 最初设置为5,我已经尝试了0 .. 4,并完全删除参数 – 行为没有差异。 Rsyslog.conf在发件人(注释和本地文件被删除)… $ModLoad imuxsock $ModLoad imklog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat *.err;kern.debug;daemon.notice;mail.crit @unixlog.ncl.ac.uk local3.debug @cmdloghost.ncl.ac.uk 从unixlog上的rsyslog.conf中解压缩 options { long_hostnames(off); sync(0); create_dirs(yes); }; destination d_syslog { file("/var/log/incoming/syslogs/$HOST/syslog.$YEAR$MONTH$DAY.log"); }; # unixlog […]

rsyslog重启后不能写日志文件

首先,感谢花时间看看这个问题,非常感谢。 我已经有连接rsyslog.confconfiguration运行了一段时间,直到今天,当我不得不重新启动rsyslog随着磁盘越来越满。 结果是rsyslog现在正在以所有先前的权限(当前root | root rw被testing安全)logging到一个新的位置(在.conf文件中被解压缩)。 我面临的问题是,无论我尝试,rsyslog不输出文件。 我运行了一个tcpdump,而且还在接收数据。 匹配标准(主机IP地址)不应该有变化,configuration也没有改变。 任何帮助,特别是我可以运行的debugging命令将不胜感激。 我宁愿学习一些新的东西(比如rsyslog),而不是卸载它,只是使用syslog-ng来代替…这里是configuration: ### Modules $ModLoad imtcp $ModLoad imudp $ModLoad imuxsock # provides support for local system logging (eg via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) ### Set log file permissions $FileOwner root $FileGroup root $FileCreateMode 0777 $DirCreateMode 0777 $Umask […]

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.