Hi ihr alle,
kurz mal Angaben zum System:
debian - lenny
syslog-ng Version 2.0.9
Habe folgendes Problem: Und zwar sammeln wir auf einem Server mit syslog-ng die logs verschiedener Geräte ein, diese werden nach bestimmten Kriterien gefiltert(filter) und in jeweils eine eigene Datei(destination) geschrieben. Funktioniert auch super.
Allerdings landen die Syslog-Einträge nicht NUR in der eingestellen destination sondern ZUSÄTZLICH in /var/log/syslog. Kein Weltuntergang, aber macht die Sache auch nicht unbedingt übersichtlicher.
Hat jemand schon mal was ähnliches erlebt? Bei Bedarf, poste ich natürlich auch gerne die syslog-ng.conf.
Bin für jede Hilfe dankbar, da ich schon länger mit dem Problem kämpfe.
Schöne Grüße,
Johnny
[Geloest] Syslog-ng Problem
[Geloest] Syslog-ng Problem
Zuletzt geändert von johnny08 am 25.02.2011 09:11:06, insgesamt 1-mal geändert.
Re: Syslog-ng Problem
In der syslog-ng.conf spielt die Reihenfolge eine wichtige Rolle. Hast Du den Filter vor syslog oder messages gesetzt?
Re: Syslog-ng Problem
Die Output-Direktiven für syslog um negative Filter für die entsprechenden Logeinträge erweitern, Bsp.:
Die Reihenfolge der Filterdefinitionen in der conf ist egal, da sie eine Art Funktionsdefinition darstellt,
die dann in den Output-Direktiven auch mehrmals verwendet werden kann.
Da sind dann die logischen und/oder-Regeln, Klammern usw. zu beachten.
Bei rsyslog wird die weitere Bearbeitung von Logeinträgen durch einen einfachen Abschluß beendet,
zBsp. (squeeze / stable): Zusätzlich mit dem Konfverzeichnis /etc/rsyslog.d/ ist das IMO erheblich einfacher
als die Pflege einer großen syslog-ng.conf.
Im Falle des dnsmasq schiebe ich ins Konfverzeichnis eine Datei mit zwei Zeilen,
wobei ich beim syslog-ng oben 6 Einträge machen muß.
Im Falle des Rückbau muß ich mindestens an 3 Stellen sauber arbeiten,
wogegen ich beim rsyslog einfach die Datei umbenenne.
(-> Immer die ursprüngliche syslog-ng.conf als Vergleichsmöglichkeit beibehalten!)
Leider ist die Doku insbesondere für regex (noch) nicht grandios,
die zweite Form oben mit 'EREregex' (muß!) habe ich "nicht sofort" gefunden (man-page?).
Zur Verwirrung funktioniert auch dieser hier mit 3 Komma:
Der regex-Checker ist gewöhnungsbedürftig:
http://www.rsyslog.com/tool-regex
Er zielt auf die umfassendere, aber auch kompliziertere Template-Handhabung.
Code: Alles auswählen
filter f_dnsmasq {
program(dnsmasq);
};
filter f_NO_DNSMASQ {
not program(dnsmasq);
};
destination df_dnsmasq { file("/var/log/DNSMASQ.log"); };
log {
source(s_all);
filter(f_syslog);
filter(f_NO_DNSMASQ);
destination(df_syslog);
};
log {
source(s_all);
filter(f_daemon);
filter(f_NO_DNSMASQ);
destination(df_daemon);
};
log {
source(s_all);
filter(f_dnsmasq);
destination(df_dnsmasq);
};
die dann in den Output-Direktiven auch mehrmals verwendet werden kann.
Da sind dann die logischen und/oder-Regeln, Klammern usw. zu beachten.
Bei rsyslog wird die weitere Bearbeitung von Logeinträgen durch einen einfachen Abschluß beendet,
zBsp. (squeeze / stable):
Code: Alles auswählen
:programname,regex,"^dnsmasq" /var/log/DNSMASQ.log
:programname,regex,"^dnsmasq" ~
Code: Alles auswählen
:programname,EREregex,"^smbd$|^nmbd$|^winbindd$" /var/log/SAMBA-daemon-syslog
:programname,EREregex,"^smbd$|^nmbd$|^winbindd$" ~
als die Pflege einer großen syslog-ng.conf.
Im Falle des dnsmasq schiebe ich ins Konfverzeichnis eine Datei mit zwei Zeilen,
wobei ich beim syslog-ng oben 6 Einträge machen muß.
Im Falle des Rückbau muß ich mindestens an 3 Stellen sauber arbeiten,
wogegen ich beim rsyslog einfach die Datei umbenenne.
(-> Immer die ursprüngliche syslog-ng.conf als Vergleichsmöglichkeit beibehalten!)
Leider ist die Doku insbesondere für regex (noch) nicht grandios,
die zweite Form oben mit 'EREregex' (muß!) habe ich "nicht sofort" gefunden (man-page?).
Zur Verwirrung funktioniert auch dieser hier mit 3 Komma:
Code: Alles auswählen
:programname,regex,,"^dnsmasq" /var/log/DNSMASQ.log
:programname,regex,,"^dnsmasq" ~
Der regex-Checker ist gewöhnungsbedürftig:
http://www.rsyslog.com/tool-regex
Er zielt auf die umfassendere, aber auch kompliziertere Template-Handhabung.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Syslog-ng Problem
Auch bei syslog-ng gibt es die Möglichkeit, zu sagen, dass nach dem Schreiben einer Logmeldung in ein Logfile da nichts weiter gemacht werden muss. Leider hab ich nicht mehr im Kopf, wie das genau hiess. Die Doku sollte allerdings weiterhelfen.
Re: Syslog-ng Problem
flags(final);nepos hat geschrieben:Auch bei syslog-ng gibt es die Möglichkeit, zu sagen, dass nach dem Schreiben einer Logmeldung in ein Logfile da nichts weiter gemacht werden muss.
Re: Syslog-ng Problem
Super! Vielen Dank!
Nachdem ich die Log-Regeln an erste Stelle gesetzt und flags(final); gesetzt habe funkioniert es!
Also vielen Dank nochmal und schon mal ein schönes Wochenende!
Nachdem ich die Log-Regeln an erste Stelle gesetzt und flags(final); gesetzt habe funkioniert es!
Also vielen Dank nochmal und schon mal ein schönes Wochenende!
Re: [Geloest] Syslog-ng Problem
Nicht wirklich,nepos hat geschrieben: Die Doku sollte allerdings weiterhelfen.
Im Paket syslog-ng_3.1.3-3 einziges Vorkommen im changelog:
-> admin-guide auf balabit.com....
commit 89577325b191f6ca029826971bf0744d495ef3a7
Author: Balazs Scheidler <bazsi@balabit.hu>
Date: Mon Dec 7 13:36:30 2009 +0100
The flow-control flag was sometimes enabled even if not requested by the user
In case a final or fallback flag was enabled on a log statement, it could enable
the flow-control on the same level.
...
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")