rsyslog não registra mensagens

Navegue suas respostas
6

Estou tentando configurar minha instância ec2 (executando o amazon linux que, segundo entendo, é construído no RHEL 5) para encaminhar mensagens de log para loggentries.com, mas nada está sendo encaminhado. como verificação de sanidade, eu segui as instruções neste artigo para configurar outra instância ec2 como servidor central e descobriu que as mensagens não estão sendo recebidas. Então eu tentei executar logger -p cron.info TEST na máquina cliente e encontrei que nada foi adicionado ao / var / log / cron ! Algo claramente não está funcionando! Mas o rsyslogd está em execução:

ps aux | grep rsys

saídas

root 25362 0.0 0.0 183768 1328 ? Sl 14:27 0:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5

para referência, aqui está o rsyslog.conf (removeu o material de encaminhamento por enquanto até que ele funcione localmente) 

#### MODULES ####

$ModLoad imuxsock.so    # provides support for local system logging (e.g. via logger command)
$ModLoad imklog.so      # provides kernel logging support (previously done by rklogd)
#$ModLoad immark.so     # provides --MARK-- message capability

# Provides UDP syslog reception
#$ModLoad imudp.so
#$UDPServerRun 514

# Provides TCP syslog reception
#$ModLoad imtcp.so  
#$InputTCPServerRun 514


#### GLOBAL DIRECTIVES ####

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# File syncing capability is disabled by default. This feature is usually not required, 
# not useful and an extreme performance hit
#$ActionFileEnableSync on


#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log
    
por hackerhasid 15.07.2012 / 05:27

1 resposta

8

A única coisa que você precisa em rsyslog.conf para encaminhar para um endereço IP remoto é 

*.* @@192.0.2.25:514;

Com relação a sua outra pergunta ...

I tried executing logger -p cron.info TEST on the client machine and found nothing is added to /var/log/cron!

Certifique-se de reiniciar o rsyslogd depois de alterar a configuração; você também precisa ter certeza de que /var/log/cron existe.

EDITAR

Para demonstrar como são as entradas de log bem-sucedidas, iniciei rsyslogd with rsyslogd -c4 -d ; isso envia toda a depuração para minha sessão ssh. Estou registrando cron.info para /var/log/syslog . Em uma sessão ssh diferente, eu corri logger -p cron.info "my test again" ... isto é o que eu vejo antes de logar com sucesso em /var/log/syslog ... 

4578.692833385:b6d8fb70: Message from UNIX socket: #3
4578.692906216:b6d8fb70: logmsg: flags 4, from 'Bucksnort', msg Jul 15 10:02:58 mpenning: my test again
4578.692936284:b6d8fb70: Message has legacy syslog format.
4578.692977796:b6d8fb70: main Q: entry added, size now 1 entries
4578.693017277:b6d8fb70: wtpAdviseMaxWorkers signals busy
4578.693079869:b6d8fb70: main Q: EnqueueMsg advised worker start
4578.693117891:b6d8fb70: --------imuxsock calling select, active file descriptors (max 5): 3 5
4578.693210533:b7590b70: main Q: entry deleted, state 0, size now 0 entries
4578.693246128:b7590b70: testing filter, f_pmask 0
4578.693269892:b7590b70: testing filter, f_pmask 255
4578.693296429:b7590b70: Called action, logging to builtin-file
4578.693340007:b7590b70: file to log to: /var/log/syslog
4578.693369336:b7590b70: doWrite, pData->pStrm 0x96b6268, lenBuf 50
4578.693400172:b7590b70: strm 0x96b6268: file 7(syslog) flush, buflen 50
4578.693487314:b7590b70: strm 0x96b6268: file 7 write wrote 50 bytes
4578.693512965:b7590b70: testing filter, f_pmask 0
4578.693530524:b7590b70: testing filter, f_pmask 0
4578.693547988:b7590b70: testing filter, f_pmask 0
4578.693564966:b7590b70: testing filter, f_pmask 0
4578.693581783:b7590b70: testing filter, f_pmask 0
4578.693599197:b7590b70: testing filter, f_pmask 0
4578.693616153:b7590b70: testing filter, f_pmask 0
4578.693632854:b7590b70: testing filter, f_pmask 0
4578.693649647:b7590b70: testing filter, f_pmask 0
4578.693666837:b7590b70: testing filter, f_pmask 0
4578.693683852:b7590b70: testing filter, f_pmask 0
4578.693700593:b7590b70: testing filter, f_pmask 128
4578.693717070:b7590b70: testing filter, f_pmask 0
4578.693734486:b7590b70: testing filter, f_pmask 1
4578.693751624:b7590b70: testing filter, f_pmask 240
4578.693769534:b7590b70: Called action, logging to builtin-pipe
4578.693791155:b7590b70:  (/dev/xconsole)
4578.693820288:b7590b70: main Q:Reg/w0: worker IDLE, waiting for work.
    
por 15.07.2012 / 16:59

Tags

Este log do servidor pode significar que meu servidor está sendo usado como um proxy? Erro no arquivo .ini tentando executar o supervisord