Log - Daemons

[dakkar]

hallo ihr lieben

ich hab am wochende ein bisschen auf meinem server rumexperimentiert und mich dazu hinreissen den syslog durch den syslog-ng zu ersetzen.

allerdings habe ich glaube ich bei der ganzen installiererei warsch irgendwas verhauen
und jetzt scheinen 3 Log Daemons zu laufen:

syslog-ng <--- soll ja auch so sein
klogd <--- brauch ich den zusaetzlich?
sysklogd <--- brauch ich den auch?

In diesem kontext:

vielleicht liegt es ja daran dass zuviele daemons was loggen:
mir werden etliche logs von meinem iptables script vollgespammt.

per syslog-ng bekomm ich alle iptables messages nach /var/log/firewall
allerdings stehen genau dieselben meldungen auch in /var/log/messages, /var/log/syslog, im dmesg und auch nochmal auf der console

jemand ne idee wie ich das einschraenken kann?

[meandtheshell]

du must die konfigurationsdatei von syslogd ändern
http://www.linuxfibel.de/protocol.htm#conf

wenn du allerdings auch den syslogd-ng installiert hast kannst du syslogd vom system entfernen

[nepos]

Schau mal in der syslog-ng Doku. Es gibt da einen Schalter fuer die Regeln, ich glaube final war das, damit kann man ihm sagen, dass er die Meldung auf keine anderen Regeln mehr testet, wenn sie gematched hat.
Zu Hause mache ich das mit meinen iptables-Logs auch so.

[dakkar]

vielen dank das war erstmal sehr hilfreich

ich geb feedback wie es dann aussieht

ps: @meandtheshell : ich hab da noch den sysKlogd nicht den syslogd. kann der trotzdem runter?

und gleich noch ein PS:
einerseits wird der klogd und syslogd bei der installation von syslog-ng deinstalliert, andererseits steht in der doku, dass klogd die kernelmessages an syslog-ng weitergibt.
was meine entscheidung sysklogd und klogd zu zu purgen nicht wirklich einfacher macht

[nepos]

Also, laut

Code: Alles auswählen

apt-cache show syslog-ng

hat der syslog-ng eigentlich sogar nen Konflikt mit sysklogd:

Conflicts: system-log-daemon, sysklogd

system-log-daemon ist ein Dummy-Paket, das sowohl der sysklogd als auch der syslog-ng bereitstellen.
Du solltest also beruhight den sysklogd purgen koennen.
klogd brauchst du meiner Meinung, da klogd den linux-kernel-log-daemon bereitstellt, das wiederum bei syslog-ng als recommended aufgelistet wird.

[meandtheshell]

klogd - auf dem system lassen - logt die kernel meldungen und reicht sie an syslogd bzw. syslogd-ng weiter - jene die sich damit etwas genauer besch. haben werden wissen das klogd den syslogd benötigt um starten zu könnnen - beim runterfahren in umgekehrter reihenfolge bzw. beim wechsel in ein anderes runlevel

sysklogd - entfernen
syslogd-ng - hinauf

syslogd - der sollte eigentlich gar nicht am system sein wenn du syslogd-ng drauf hast ...

mach einmal

Code: Alles auswählen

dpkg --list | grep syslog

und posten

[meandtheshell]

Also, laut

Code: Alles auswählen

apt-cache show syslog-ng

hat der syslog-ng eigentlich sogar nen Konflikt mit sysklogd:

Conflicts: system-log-daemon, sysklogd

liegt daran das sysklogd - so wie ich das verstanden habe - ein makro paket ist das den syslogd und klogd enthält - d.h. wenn syslogd einen konflikt mit syslogd-ng hat dann nat. auch sysklogd ...

also so wie ich oben gesagt habe passt es dann ...

[dakkar]

ich hab das mit dem multiplen logging mal versucht auf arbeit nachzustellen (hier anhand des crons)

cat /var/log/syslog

Code: Alles auswählen

Apr 11 12:09:01 discordia /USR/SBIN/CRON[17711]: (root) CMD (  [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm)

cat /var/log/cron.log

Code: Alles auswählen

Apr 11 12:09:01 discordia /USR/SBIN/CRON[17711]: (root) CMD (  [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm)

hier der entsprechende eintrag in der config (alles andere ist default)

Code: Alles auswählen

# this is commented out in the default syslog.conf
# cron.*                         /var/log/cron.log
log {
        source(s_all);
        filter(f_cron);
        destination(df_cron);
        flags(final);
};

genau derselbe eintrag in beiden logs und in der conf der final flag gesetzt *etwas ratlos ist*

[dakkar]

herjje ma schlage und geissele mich *schaem*

wer neben dokus auch mal elementarerweise die comments in configfiles liest ist klar im vorteil....

fuer welche die dasselbe problem haben:

das flag final (siehe vorgaengerpost) funktioniert sehr wohl und veranlasst, dass der entsprechende logeintrag nicht mehr weiterverarbeitet wird, auch wenn er eigentlich spaeter nocheinmal auf einen filter passen wuerde, (in diesem beispiel syslog).

sobald man den final flag benutzt spielt die REIHENFOLGE in der config eine rolle. sprich in meinem beispiel: ich muss den cron logeintrag ÜBER den syslog eintrag schreiben

[dakkar]

hmmm naja .... fast *g*

also ich konntedurch obrige loesung zumindest eines erreichen:syslog und messages bleiben frei von ungewuenschten meldungen.

allerdings krieg ich die konsole und das dmesg noch vollgespammt
dass wenn man in den griffkriegen koennte waer ich wunschlos gluecklich...