Logausgabe vom pptpd-Daemon umleiten?

[mick81]

Hallo,

ich habe einen pptpd-Dienst auf einem Ubuntu-Server laufen und möchte die Ausgabe der Logdaten ändern. Standardmäßig erfolgt die Ausgabe nach /var/log/messages. Ich möchte die Ausgabe der Übersichtlichkeit wegen nach /var/log/pptpd.log umleiten.
Per Webmin-Oberfläche habe ich unter Modulkonfiguration die Ausgabe umgeleitet. Jedoch werden die Logdaten weiterhin nach /var/log/messages ausgegeben.

Hat jemand einen Tipp für mich, wie ich die Logdaten korrekt umleiten kann?

MfG
Mick81

[rendegast]

Änderung der priority: Scheint nur 'debug an/aus' möglich zu sein.

Der pptpd scheint die facility 'daemon' zu benutzen, leider.
Habe nichts bemerkt, ob das vielleicht in 'local[0-7]' zu ändern wäre.

[mick81]

Hallo,

leider kann ich mit der Antwort nicht viel anfangen?!
Welche Kriterien muss ich denn angeben, wenn ich eine Systemlog-Datei einstellen möchte, die nur pppd bzw. pptpd Nachrichten enthält?

MfG

[rendegast]

Code: Alles auswählen

man syslog
man syslog.conf
man pptpd.conf

Der syslogd sortiert Meldungen nach ihrer Herkunft, der "facility", und nach ihrer Relevanz, der "priority".
Der pptpd gibt Meldungen als facility 'daemon' aus. Andere Dienste|Prozesse tun das auch.
Somit werden alle diese 'daemon'-Meldungen zusammengefaßt.

Bei manchen Programmen ist die facility frei wählbar, wodurch dann auf die normalerweise ungenutzten 'local[0-7]' ausgewichen werden kann.
EDIT Bsp. sudo, sudoers : 'syslog_badpri=...' 'syslog_goodpri=...' 'syslog=...'

Der normale Weg damit umzugehen wäre, Analysetools zu benutzen.
Im einfachsten Fall 'grep'.
Es gibt aber auch aufwendigere, da grep bei großen Logmengen überfordert und unpraktisch sein kann.
Ein Beispiel: rsyslog (Kühnast, linux-magazin 05/08) importiert die Logdaten in eine Datenbank, sodaß sie mit mysql-Tools elegant analysiert werden können.


------------------------------------------------------------------
Mir kommt da eine verrückte Idee: In 'strings /usr/sbin/pptpd' habe ich den String "daemon" gefunden.
Versuchsweise mit einem HexEditor den String "daemon" durch "local3" ersetzen?
Dann noch einen Eintrag in /etc/syslog.conf :

Code: Alles auswählen

local3.*   /var/log/local3.log

---------- EDIT Falsche Idee ----------
"daemon" in /usr/sbin/pptpd ist ein libc-Symbol (?), das Starten schlägt fehl:

Starting PPTP Daemon: /usr/sbin/pptpd: relocation error: /usr/sbin/pptpd: symbol local3, version GLIBC_2.0 not defined in file libc.so.6 with link time reference
pptpd.

[mick81]

Alles klar! Nun habe ich es verstanden.
Eine andere Idee, die ich habe:

Das Logfile per sed Kommando bearbeiten und einfach alle Zeilen löschen, die NICHT die Zeichenkette "pppd" beinhalten. Leider kenne ich mich mit sed nicht so gut aus. Ich kann Zeilen löschen, welche eine bestimmte Zeichenfolge besitzen, aber ich möchte ja die löschen, die eine bestimmte Zeichenfolge NICHT haben.

Grüße
Mick

[nepos]

Es gaebe auch noch die Moeglichkeit, statt syslogd den syslog-ng zu benutzen. Der kann mittels Filtern auf die eigentlichen Logmeldungen diese etwas besser sortieren als syslogd, das ja nur auf die Facility und die Priority geht.

[rendegast]

nepos hat recht, habe jetzt auch auf syslog-ng umgestellt.

Könnte es mit so denken:

Code: Alles auswählen

destination df_PPTPD { file("/var/log/pptpd.log"); };
filter f_PPTPD {    program("pptpd"); };
filter f_PPTPD_not {    not program("pptpd"); };

Code: Alles auswählen

log {
        source(s_all);
        filter(f_messages);
        filter(f_PPTPD_not);
        destination(df_messages);
};

....

log {
        source(s_all);
        filter(f_PPTPD);
        destination(df_PPTPD);
};

(vielleicht auch mit dem Filter 'match()' ?)

[nepos]

Ich denke, das Filtern ueber program() ist schon ok. Match ist maechtiger, aber an der Stelle meiner Meinung Overkill