syslog-ng stoppt regelmäßig

[Lebowski23]

Hallo,
ich nutze syslog-ng um ein paar logs einiger Clients zwischen zuspeichern, Aus mir unbekannten Gründen, stoppt syslog-ng regelmäßig und ich muss es über /etc/init.d/syslog-ng start neustarten.
In der /var/log/syslog find ich leider nichts. hat jemand einen Tipp, wo ich schauen kann um die Ursache für den fehler zu finden.

beste grüße, Lebowski

[rendegast]

grep -l syslog-ng /var/log/*
Irgendwo muß syslog-ng ja seine start-stop-Meldungen unterbringen.

Regelmäßig?
Eventuell klappt der Neustart bei der log-Rotation nicht,
/etc/logrotate.d/syslog-ng kontrollieren.

Code: Alles auswählen

...
      /usr/sbin/invoke-rc.d syslog-ng reload >/dev/null
...

Ich bin irgendwann auf rsyslog umgestiegen,
/etc/rsyslog.d/ möchte ich nicht mehr missen.

[Lebowski23]

Hallo,
syslog-ng hat heute nach genau um Mitternacht gestoppt (vermute ich, da danach keine Logs mehr eingegangen sind.
Fehelrmeldungne darüber konnte ich aber auch mi grep nicht finden.


Was meinst du mit

Eventuell klappt der Neustart bei der log-Rotation nicht,
/etc/logrotate.d/syslog-ng kontrollieren.

Der letzte Eintrag in /etc/logrotate.d/syslog-ng sieht so aus:

Code: Alles auswählen

/var/log/syslog {
   rotate 7
   daily
   compress
   postrotate
      /usr/sbin/invoke-rc.d syslog-ng reload >/dev/null
   endscript
}

Muss der weg, oder ist der so richtig?


Besten Dank

[rendegast]

Code: Alles auswählen

...
   postrotate
      /usr/sbin/invoke-rc.d syslog-ng reload >/dev/null
...

Muss der weg, oder ist der so richtig?

Der Eintrag ist soweit in Ordnung.
Theorie:
Beim Umbenennen der Log-Dateien behält der Dämon den Focus auf den umbenannten Dateien,
daher dort ein reload/restart, damit neue Dateien verwendet werden.
Fehlt dieser Reload, kann das nach weiteren Aktionen zu einem Stoppen oder Absturz des Dämon führen.

Meine Idee war, daß Du selbst vielleicht den Eintrag auskommentiert hast.
(Vielleicht "reload" durch "restart" ersetzen?)

Wann laufen die cron-Jobs ab? -> /etc/crontab, /etc/cron.d/*, andere Scheduler?
-> Jobs, die syslog-ng beenden lassen?

Zur weiteren Bestimmung vielleicht ein minütlicher cron-Job mit Ausgabe in eine Datei,
zBsp. sowas:

Code: Alles auswählen

# date; lsof | grep var/log | grep syslog
Wed Sep  8 15:03:10 CEST 2010
rsyslogd   1467       root    1w      REG       8,54    79852     224940 /var/log/syslog
rsyslogd   1467       root    2w      REG       8,54   196394     226385 /var/log/kern.log
rsyslogd   1467       root    5w      REG       8,54   160739     226406 /var/log/messages
rsyslogd   1467       root    6w      REG       8,54    36445     226395 /var/log/debug
rsyslogd   1467       root    7w      REG       8,54    84848     226384 /var/log/daemon.log
rsyslogd   1467       root    8w      REG       8,54    18323     224943 /var/log/SMARTD-daemon-syslog
rsyslogd   1467       root    9w      REG       8,54    14259     226389 /var/log/auth.log

Oder sogar kurz vor Mitternacht ein strace an den syslog-ng anklinken:

Code: Alles auswählen

strace -f -t -p $(pidof syslog-ng) -o /tmp/LOG

(falls 'pidof syslog-ng' Unterprozesse aufführt, sich auf den Hauptprozess beschränken, 'pstree -p')



Wird der syslog-ng mit Austragung aus der Prozeßliste beendet?
Oder wird er zum Zombie?

Als walkaround erstmal ein Script,
das minütlich auf 'pidof syslog-ng' prüft,
(diese mit /var/run/syslog-ng.pid vergleicht?)
und gegebenenfalls neustartet?