[gelöst] Keine neuen Einträge in /var/log/syslog und anderen Log-Dateien

[Pontus]

Hallo, zusammen.

Kann mir jemand einen hilfreichen Tipp zu folgendm Problem geben:

Es gehr dabei um einen DEBIAN Bookworm-Server.

Seit einigen Tagen tauchen in der /var/log/syslog keine Einträge mehr auf. Bisher habe ich folgendes versucht:


1.

root@srv-cloud:~# sudo systemctl status syslog.service

Code: Alles auswählen

● rsyslog.service - System Logging Service
     Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; preset: enabled)
     Active: active (running) since Sat 2023-08-19 23:46:42 CEST; 16min ago
TriggeredBy: ● syslog.socket
       Docs: man:rsyslogd(8)
             man:rsyslog.conf(5)
             https://www.rsyslog.com/doc/
   Main PID: 888 (rsyslogd)
      Tasks: 4 (limit: 16609)
     Memory: 4.2M
        CPU: 97ms
     CGroup: /system.slice/rsyslog.service
             └─888 /usr/sbin/rsyslogd -n -iNONE

Aug 19 23:46:42 srv-cloud systemd[1]: Starting rsyslog.service - System Logging Service...
Aug 19 23:46:42 srv-cloud rsyslogd[888]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd.  [v8.2302.0]
Aug 19 23:46:42 srv-cloud rsyslogd[888]: [origin software="rsyslogd" swVersion="8.2302.0" x-pid="888" x-info="https://www.rsyslog.com"] start
Aug 19 23:46:42 srv-cloud systemd[1]: Started rsyslog.service - System Logging Service.
Aug 20 00:00:12 srv-cloud systemd[1]: rsyslog.service: Sent signal SIGHUP to main process 888 (rsyslogd) on client request.
Aug 20 00:00:12 srv-cloud rsyslogd[888]: [origin software="rsyslogd" swVersion="8.2302.0" x-pid="888" x-info="https://www.rsyslog.com"] rsyslogd was HUPed

2.

Ein Blick in die syslog.conf:

Code: Alles auswählen

root@srv-cloud:~# nano /etc/rsyslog.conf
  GNU nano 7.2                                                                                                                 /etc/rsyslog.conf
# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html


#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
module(load="imklog")   # provides kernel logging support
#module(load="immark")  # provides --MARK-- message capability

# provides UDP syslog reception
#module(load="imudp")
#input(type="imudp" port="514")

# provides TCP syslog reception
#module(load="imtcp")
#input(type="imtcp" port="514")


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf


###############
#### RULES ####
###############

#
# Log anything besides private authentication messages to a single log file
#

#
# Log commonly used facilities to their own log file
#

#
# Emergencies are sent to everybody logged in.
#
*.emerg                         :omusrmsg:*

3.

Manuelles Schreiben einer LOG-Nachricht:

Code: Alles auswählen

logger -p auth.info "Test message"

Ohne Ergebnis.

Ich bin an dieser Stelle mit meinem Latein am Ende. Bestimmt gibt es hier jemanden,
der/die mir weiterhelfen kann?

Ich würde mich freuen.

Viele Grüße

[tobo]

3.

Manuelles Schreiben einer LOG-Nachricht:

Code: Alles auswählen

logger -p auth.info "Test message"

Ohne Ergebnis.

Zwei Links dazu:
https://real-world-systems.com/docs/logger.1.html
https://success.trendmicro.com/dcx/s/so ... uage=en_US

Wenn du explizit die Adresse angibst, dann gib halt syslog an. Ansonsten nur die Schwere:

Code: Alles auswählen

logger -p syslog.info "Test message (-p6)"
##oder
logger -p0 "Maximale Warnung = entspricht etwa dem Systembefehl wall (=Benachrichtigung auf allen Kanälen)"
...
logger -p7 "Minimale Warnung"

[Pontus]

Hallo, zusammen.

@tobo

Danke für deinen Input.

Ich habe deine Vorschläge umgesetzt.

1.

Code: Alles auswählen

> logger -p syslog.info "Test message (-p6)"

Hier passiert nichts Erkennbares. Also kein Eintrag in /var/log/syslog. Bzw. es
wird keine neue /var/syslog erzeugt - die vorhandene (vom 17.08.2023) hatte ich
einfach gelöscht.

2.

Code: Alles auswählen

> logger -p0 "Maximale Warnung = entspricht etwa dem Systembefehl wall (=Benachrichtigung auf allen Kanälen)"

Hier erfolgt eine Ausgabe auf der Konsole:

Code: Alles auswählen

Broadcast message from systemd-journald@srv-cloud (Sun 2023-08-20 02:41:15 CEST):

root[2384]: Maximale Warnung = entspricht etwa dem Systembefehl wall (=Benachrichtigung auf allen Kanälen)

Bei den LOG-Files in /var/log sind keinerlei Auswirkungen zu erkennen.

Vielleich hättest du ja noch eine Idee um das Problem einzukreisen?

Viele Grüße

[tobo]

In deiner /etc/rsyslog.conf fehlen große Teile - ist das so gewollt? Wenn nicht, dann mach mal:

Code: Alles auswählen

# mv /etc/rsyslog.conf /etc/rsyslog.conf.BAK
# apt -o DPkg::options::=--force-confmiss reinstall rsyslog

Das legt deine aktuelle /etc/rsyslog.conf als *.BAK-Datei daneben und installiert wieder die Originaldatei.

Zeig mal die Ausgabe von:

Code: Alles auswählen

$ ls -l /var/log/syslog

[chrbr]

Seit Bookworm werden die Meldungen per Voreinstellung nicht mehr an die alten Mechanismen übergeben, sondern nur noch an das Journal. Mit

Code: Alles auswählen

journalctl -f

solltest du Meldungen eintreffen sehen. Das Logging wie bisher in Textdateien kann man aber wieder aktivieren. Das steht in den Releasenotes zu Bookworm. Die habe ich aber gerade nicht verfügbar. Vielleicht reicht ja der Hinweis.

[Pontus]

Moin, zusammen.

@tobo

In deiner /etc/rsyslog.conf fehlen große Teile - ist das so gewollt?

Nein, das ist/war keinesfalls gewollt.

Aber vermutlich habe ich das wohl selbst verbockt unter Zuhilfename einer anderen "Beratung".
(Bitte keine Details erfragen

Aber um das wesentliche zu formulieren: ich habe deine Anweisungen umgesetzt. Und siehe da:
Es wird wieder geloggt!!!

Dafür ganz herzlichen Dank!

@chrbr

Auch deinen Vorschlag habe ich umgesetzt:

Code: Alles auswählen

root@srv-cloud:~# journalctl -f
Aug 24 02:33:44 srv-cloud systemd[2115]: Reached target default.target - Main User Target.
Aug 24 02:33:44 srv-cloud systemd[2115]: Startup finished in 871ms.
Aug 24 02:33:44 srv-cloud wireplumber[2133]: GetManagedObjects() failed: org.freedesktop.DBus.Error.NameHasNoOwner
Aug 24 02:33:54 srv-cloud su[2230]: (to root) wenk on pts/0
Aug 24 02:33:54 srv-cloud su[2230]: pam_unix(su-l:session): session opened for user root(uid=0) by wenk(uid=1000)
Aug 24 02:37:32 srv-cloud anacron[859]: Job `cron.daily' started
Aug 24 02:37:32 srv-cloud anacron[2253]: Updated timestamp for job `cron.daily' to 2023-08-24
Aug 24 02:37:32 srv-cloud anacron[859]: Job `cron.daily' terminated
Aug 24 02:37:46 srv-cloud PackageKit[1849]: daemon quit
Aug 24 02:37:46 srv-cloud systemd[1]: packagekit.service: Deactivated successfully.
Aug 24 02:42:32 srv-cloud anacron[859]: Job `cron.weekly' started
Aug 24 02:42:32 srv-cloud anacron[2269]: Updated timestamp for job `cron.weekly' to 2023-08-24
Aug 24 02:42:32 srv-cloud anacron[859]: Job `cron.weekly' terminated
Aug 24 02:42:32 srv-cloud anacron[859]: Normal exit (2 jobs run)
Aug 24 02:42:32 srv-cloud systemd[1]: anacron.service: Deactivated successfully.

Danach war dann Sendepause. Ich musste die Konsolenausgabe mit CTRL-C wieder aktivieren.

Was sagt uns das?

@all

Ausgangspunkt für die ganze Problemkette war, dass mein kleiner Debian-Homserver etwas herumzickt.
Aber das wäre jetzt an dieser Stelle off-topic. Meine Mutmaßung ist, dass es etwas mit dem RAID1 der
Serverfestplatten zu tun hat. Aber den Thread dazu muss ich auf später verschieben. Es ist doch etwas
spät.

Bis hierhin also nochmals: vielen Dank! Ihr habt mir ganz toll geholfen.

Viele Grüße

[chrbr]

Danach war dann Sendepause. Ich musste die Konsolenausgabe mit CTRL-C wieder aktivieren.
Was sagt uns das?

Eigentlich (TM) läuft das immer weiter. Den Link zu der Änderung habe ich nun auch:
https://www.debian.org/releases/bookwor ... em-logging