Staram się skonfigurować prosty serwer logów z pomocą rsyslog na Ubuntu 12.4 LTS server. Serwer działa, ale nie rozpoznaje parametrów.
Serwer działa poprawnie przekierowując logi zebrane z sieci do wspólnego pliku /tmp/sth-all.log. Jest to zdefiniowane w nowym pliku konfiguracyjnym /etc/rsyslog.d/40-remote.conf. Plik jest wczytywany po “20-ufw.conf” i przed “50-default.conf” (20<40<50).
root@XXXX:~# cat /etc/rsyslog.d/40-remote.conf
*.* /tmp/sth-all.log
& ~
root@XXXX:~#service rsyslog restart
Plik sth-all.log jest tworzony i puchnie od logów z całej sieci, aż miło. ALE! Jeśli wprowadzam parametr np. by sortował ruch względem dni:
root@XXXX:~# cat /etc/rsyslog.d/40-remote.conf
*.* "/tmp/sth-%$NOW%.log"
& ~
root@XXXX:~#service rsyslog restart
lub hostów:
root@XXXX:~# cat /etc/rsyslog.d/40-remote.conf
*.* "/tmp/sth-%HOSTNAME%.log"
& ~
root@XXXX:~#service rsyslog restart
Żadne pliki nie są tworzone a logi lecą w niebyt :(
Czy ktoś może mi powiedzieć co jest nie tak?
Bo help gryzie...
$template DynFile,"/var/log/log_%HOSTNAME%.log"
:source , !isequal , "localhost" ?DynFile
Nie działa :(
Nie zakłada żadnych plików, /var/log/syslog:
Dec 6 12:05:55 syslog kernel: Kernel logging (proc) stopped.
Dec 6 12:05:55 syslog rsyslogd: [origin software="rsyslogd" swVersion="5.8.6" x-pid="19409" x-info="http://www.rsyslog.com"] exiting on signal 15.
Dec 6 12:05:55 syslog kernel: imklog 5.8.6, log source = /proc/kmsg started.
Dec 6 12:05:55 syslog rsyslogd: [origin software="rsyslogd" swVersion="5.8.6" x-pid="19479" x-info="http://www.rsyslog.com"] start
Dec 6 12:05:55 syslog rsyslogd: rsyslogd's groupid changed to 103
Dec 6 12:05:55 syslog rsyslogd: rsyslogd's userid changed to 101
Dec 6 12:05:55 syslog rsyslogd-2039: Could not open output pipe '/dev/xconsole' [try http://www.rsyslog.com/e/2039 ]
"xconsole" służy chyba do logów przez port szeregowy, tak czy inaczej błąd był zgłaszany odkąd postawiłem serwer.
"xconsole" służy chyba do logów przez port szeregowy
Nie bardzo...
* x11-apps/xconsole
Available versions: 1.0.4
Homepage: http://xorg.freedesktop.org/
Description: monitor system console messages with X
Mój przykład rejestruje do osobnych plików wszystko poza localhostem. Czy urządzenia zewnętrzne coś przysyłają? Sprawdziłeś TCPDUMPem albo WIRESHARKiem?
Zastosowałem taki template...
$template LogFile, "/home/logs/%$YEAR%%$MONTH%/%$DAY%.log"
:fromhost, isequal, "192.168.0.1" ?LogFile
... i podziałało! Choć nie mam bladego pojęcia dlaczego. Tak czy inaczej jakoś sobie dalej poradzę.
Dzięki za zainteresowanie!