Debian 8 Jessie rsyslog

[s837ubc]

Hallo,

im Protokoll /var/log/messages wird wiederholt folgende Meldung festgehalten:

Code: Alles auswählen

Feb  4 16:39:01 System rsyslogd-2007: action 'action 17' suspended, next retry is Wed Feb  4 16:39:31 2015 [try http://www.rsyslog.com/e/2007 ]
Feb  4 16:40:01 System rsyslogd-2007: action 'action 17' suspended, next retry is Wed Feb  4 16:40:31 2015 [try http://www.rsyslog.com/e/2007 ]
Feb  4 16:43:57 System rsyslogd-2007: action 'action 17' suspended, next retry is Wed Feb  4 16:44:27 2015 [try http://www.rsyslog.com/e/2007 ]
Feb  4 16:43:57 System rsyslogd-2007: action 'action 17' suspended, next retry is Wed Feb  4 16:44:27 2015 [try http://www.rsyslog.com/e/2007 ]
Feb  4 16:45:01 System rsyslogd-2007: action 'action 17' suspended, next retry is Wed Feb  4 16:45:31 2015 [try http://www.rsyslog.com/e/2007 ]

Mit den Hinweisen auf der Webseite http://www.rsyslog.com/e/2007 kann ich nicht viel anfangen.

Der Remote Syslogger-Service ist online. Diese Meldungen werden alle auch dort verzeichnet.

Es soll sich angeblich im einen bekannten Bug handeln:

https://github.com/rsyslog/rsyslog/issues/35

Ab und zu wird auch eine abweichende 'action'-Nummer im Fehlerprotokoll angegeben.

Die Konfigurationsdatei /etc/rsyslog.conf enthält lediglich eine zusätzlichen Eintrag zum Versand der Meldungen an einen zentralen Syslog-Service:

Code: Alles auswählen

*.*   @loghost

Auch nach einem Auskommentieren dieser Einstellung (und Neustart des Services rsyslog) tritt der Fehler weiterhin auf.

Kann mit jemand einen Tip geben, wie dieser Fehler beseitigt werden kann?

[rendegast]

Auf eine andere Version von rsyslogd ausweichen? http://snapshot.debian.org

[habakug]

Hallo!

Das ist in rsyslog 7.6.2 behoben [1], der ist in den Wheezy-Backports [2].

Gruss, habakug

[1] https://github.com/rsyslog/rsyslog/comm ... 1a5a2765dd
[2] https://packages.debian.org/wheezy-backports/rsyslog

edit:
Ich schnalle gerade, das du ja von Jessie sprichst. Tja, dann ist der Bug wohl doch nicht behoben. Vielleicht könntest du das noch genauer debuggen.

edit2:
Ich sehe gerade hier [3] den Hinweis

> The problem basically is, that no program is reading from /dev/xconsole,
> so the pipe runs full and rsyslog (correctly) logs this issue. So this
> is expected behaviour.

Thanks for the tip, I somehow missed that bug report. I'll comment out
the xconsole logging.

worauf Herr Biebl in die (damalige) Zukunft schaut:

Still, it's annoying that the default configuration logs useless
messages that get picked up by logcheck. I don't want to have to change
the rsyslog configuration on every single machine that gets upgraded to
jessie in a few months time just to avoid this issue...

[3] https://bugs.debian.org/cgi-bin/bugrepo ... bug=745492

[pangu]

Also wenn man sich den bugreport hier durchliest, dann ist das ein "normales Verhalten" *hust*. So wie der letzte Kommentar ganz unten sehe ich das aber auch: es ist eine Zumutung vom Anwender zu erwarten, dass dieser auf jeder Jessie-upgegradeten Maschine die /etc/rsyslog.conf bearbeiten muss, und den entsprechenden letzten Abschnitt kommentieren soll.

der letzte Abschnitt der /etc/rsyslog.conf sieht bei mir wie folgt aus:

Code: Alles auswählen

daemon.*;mail.*;\
   news.err;\
   *.=debug;*.=info;\
   *.=notice;*.=warn |/dev/xconsole

Laut Maintainer hat man mehrere Möglichkeiten dieses Verhalten zu unterbinden. Entweder man setzt action.reportSuspension [0] to off oder eben man kommentiert diesen besagten letzten Abschnitt in der /etc/rsyslog.conf aus:

Code: Alles auswählen

#daemon.*;mail.*;\
#   news.err;\
#   *.=debug;*.=info;\
#   *.=notice;*.=warn

Es wurde auch bereits vorgeschlagen, dass defaultmäßig dieser Abschnitt auskommentiert werden sollte. Hoffentlich pflegt das der maintainer bald auch ein, damit es in den kommenden Updates mit einfließt.

[s837ubc]

Hallo pangu,

habe erst heute ihren Beitrag entdeckt.

Um die vielen 'action 17'-Meldungen aus dem Weg gehen zu können, wurde in der Config-Datei /etc/rsyslog.conf die Einstellung action.reportSuspension auf off gesetzt.

Falls diese Maßnahme nicht ausreichen sollte, können ja immer noch die anderen Zeilen auskommentiert werden.

Vielen Dank für die Information.

In der rsyslog-Dokumentation wurde u.a. eine eMail Adresse angegeben:

Rainer Gerhards
Adiscon GmbH
Grossrinderfeld, Germany
rgerhards@adiscon.com

Vielleicht sollte man diesem Herrn Gerhards freundlich nach dem Hintergrund der 'Action-17' Meldungen fragen?

VG, BigBen

Nachtrag
=======
Wenn ein so elementarer Service wie RSyslog fehlerhaft ist, dann kommt schnell die Frage auf, welchen Service denn die kommerziellen Enterprise Versionen verwenden. Denn wer schon einen teuren Wartungsvertrag über ein Linux-System abgeschlossen hat, wird sich kaum damit abspeisen lassen, dass manche Services eben noch im Beta-Status sind. Bei vielen Firmen ist ein funktionierender Syslog-Service in der Produktionsumgebung einfach Grundvoraussetzung. Oder setzen diese Closed-Software-Produkte ein, deren Source-Code nicht öffentlich einsehbar ist? Es kann doch nicht sein, dass man erst viele unterschiedliche Versionen austesten muss, um am Ende eventuell nach Testlauf Nr. X eine funktionierende fehlerfreie Version gefunden zu haben.