Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2010-12-30 02:51:18

  Kpt. - Użytkownik

Kpt.
Użytkownik
Skąd: Wielkopolska
Zarejestrowany: 2005-11-10

Syslog-ng

Kurcze. Panowie mam taki banalny problem. Nie wglebialem sie w konfoguracje, przyklad znalazlem na sieci.
Mam takie oto wpisy w konfigu sysloga

Kod:

source s_tcp {udp(ip(192.168.252.10) port(514));};
destination serw { file("/var/log/connections.log");};
log { source(s_tcp); destination(serw);};

source s_tcp {udp(ip(77.x.x.x) port(515));};
destination serw2 { file("/var/log/connections_choc.log");};
log { source(s_tcp); destination(serw2);};

Teraz tak, jak mam tak ustawione, to loguje mi ruch z drugiego wpisu, albo nie loguje wcale.
Natomiast gdy drugi wpis zakomentuje, to loguje mi ruch z pierwszego...
Co mam tu skopane?

Offline

 

#2  2010-12-30 03:46:48

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: Syslog-ng

Dla drugiej instancji s_tcp nazwij np s_tcp2

Offline

 

#3  2010-12-30 08:49:45

  Kpt. - Użytkownik

Kpt.
Użytkownik
Skąd: Wielkopolska
Zarejestrowany: 2005-11-10

Re: Syslog-ng

OK. Dzieki. Sprawdze.
Ale to jeszcze nie koniec moich klopotow. Zauwazylem rowniez, ze z nieznanego mi powodu od pewnego czasu - rano, gdy nastepuje uruchomoenie logrotate przez crona, syslog-ng tez jest restartowany a wlasciwie nastepuje reload konfigu. Tworzony jest nowy plik z logami, ale syslog-ng nic do niego nie zapisuje :-(. Dopiero moj reczny restart, powoduje, ze logi ponownie sa zapisywane do pliku.

W syslogu o tej godzinie pojawia sie

Kod:

syslog-ng[21303]: Configuration reload request received, reloading configuration;
checkpc[487]: Read_file_list: cannot stat required or included file '//etc/printcap' - Nie ma takiego pliku ani katalogu
checkpc[490]: Read_file_list: cannot stat required or included file '//etc/printcap' - Nie ma takiego pliku ani katalogu

Offline

 

#4  2010-12-30 11:16:20

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: Syslog-ng

Zgaduję, że logrotate robi rotację i tworzy świeże pliki z logami, ale syslog-ng zapisuje do starego uchwytu pliku, pomimo iż logrotare zmienił mu nazwe.
Sam logrotate robi pewnie SIGHUP na syslogu, ale potrzebny jest pełny restart.

Offline

 

#5  2010-12-31 09:58:14

  Kpt. - Użytkownik

Kpt.
Użytkownik
Skąd: Wielkopolska
Zarejestrowany: 2005-11-10

Re: Syslog-ng

Dzieki za podpowiedz. Dopatrzylem sie, ze w cron.daily, jest skrypt syslogd - bo sysloga mialem. a w nim cos takiego

Kod:

test -x /usr/sbin/syslogd-listfiles || exit 0
test -x /sbin/syslogd || exit 0
test -f /usr/share/sysklogd/dummy || exit 0

set -e

cd /var/log
for LOG in `syslogd-listfiles`
do
   if [ -s $LOG ]; then
      savelog -g adm -m 640 -u root -c 7 $LOG >/dev/null
   fi
done

for LOG in `syslogd-listfiles --auth`
do
   if [ -f $LOG ]; then
      chown root:adm $LOG
      chmod o-rwx $LOG
   fi
done

# Restart syslogd
#
/etc/init.d/sylogd reload-or-restart > /dev/null

Chyba wystarczy jak zmienie ostatnia linijke na syslog-ng restart i powinno pykac.

Offline

 

#6  2010-12-31 19:15:43

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: Syslog-ng

nie jest dobrze jak dwa systemy rotuja te same logi ... ja bym wywalil ten skrypt cronowy ... polecam tez zrobic purge na syslogd

"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#7  2011-01-02 13:58:26

  Kpt. - Użytkownik

Kpt.
Użytkownik
Skąd: Wielkopolska
Zarejestrowany: 2005-11-10

Re: Syslog-ng

Z tym sysklogd to pomylka, niby w cron.daily jest, ale wywale go bo i tak nie ma to zadnego zaczenia. Spojrzalem w conf. logrotate i widze, ze to on jest odpowiedzialny za "reload" syslog-ng.
Zmienilem w dwie linijki. bo Mialem mniej wiecej tak:

/var/log/syslog {
   rotate 7
   daily
   compress
   postrotate
   /etc/init.d/syslog-ng reload-or-restart >/dev/null
   endscript
}

/var/log/connections.log {
   rotate 30
   daily
   notifempty
   compress
}

/var/log/connections_choc.log {
    rotate 30
    daily
    notifempty
    compress
    postrotate
        /etc/init.d/syslog-ng restart >/dev/null
    endscript
|

W tym momencie jak mowilem - przestawalem mi tworzyl mi pliki connections i connections_choc, ale nic do nich nie logowal.
W sumie mimo, ze z pozoru jest to bledne, to dopoki nie aktualizowalem systemu - dzialalo to ok. Potem dopiero zaczela sie kaszana.

W kazdym razie, zrobilem tak: i dzisiaj przestal mi w ogole logowac do wszystkich plikow - sysloga, messages itd. Dopiero reczny restart pomogl.
Jeszcze jest blad? Co znaczy postrotate?

/var/log/syslog {
   rotate 7
   daily
   compress
   #postrotate
     # /etc/init.d/syslog-ng restart >/dev/null
  # endscript
}

/var/log/connections.log {
   rotate 30
   daily
   notifempty
   compress
}

/var/log/connections_choc.log {
    rotate 30
    daily
    notifempty
    compress
    postrotate
        /etc/init.d/syslog-ng restart >/dev/null
    endscript
|

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)