Rsyslog 邮件模块不工作

Question

Tom O'Connor

Asked: 2012-11-07 03:22:21 +0800 CST2012-11-07 03:22:21 +0800 CST 2012-11-07 03:22:21 +0800 CST

rsyslogd 没有监控所有文件

772

所以.. 我已经安装了 Logstash，而不是使用 logstash shipper（因为它需要 JVM 并且通常很大），我使用具有以下配置的 rsyslogd。

# Use traditional timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf


# Provides kernel logging support (previously done by rklogd)
$ModLoad imklog
# Provides support for local system logging (e.g. via logger command)
$ModLoad imuxsock

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none;local6.none            /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

在 /etc/rsyslog.d/logstash.conf中有 28 个使用 imfile 的文件监视器块

$ModLoad imfile   # Load the imfile input module
$ModLoad imklog   # for reading kernel log messages
$ModLoad imuxsock # for reading local syslog messages

$InputFileName /var/log/rabbitmq/startup_err
$InputFileTag rmq-err:
$InputFileStateFile state-rmq-err
$InputFileFacility local6
$InputRunFileMonitor
....
$InputFileName /var/log/some.other.custom.log
$InputFileTag cust-log:
$InputFileStateFile state-cust-log
$InputFileFacility local6
$InputRunFileMonitor
....
*.* @@10.90.0.110:5514

有 28 个 InputFileMonitor 块，每个块监视不同的自定义应用程序日志文件。

如果我跑

[root@secret-gm02 ~]# lsof|grep rsyslog
rsyslogd   5380        root  cwd       DIR              253,0       4096          2 /
rsyslogd   5380        root  rtd       DIR              253,0       4096          2 /
rsyslogd   5380        root  txt       REG              253,0     278976    1015955 /sbin/rsyslogd
rsyslogd   5380        root  mem       REG              253,0      58400    1868123 /lib64/libgcc_s-4.1.2-20080825.so.1
rsyslogd   5380        root  mem       REG              253,0     144776    1867778 /lib64/ld-2.5.so
rsyslogd   5380        root  mem       REG              253,0    1718232    1867780 /lib64/libc-2.5.so
rsyslogd   5380        root  mem       REG              253,0      23360    1867787 /lib64/libdl-2.5.so
rsyslogd   5380        root  mem       REG              253,0     145872    1867797 /lib64/libpthread-2.5.so
rsyslogd   5380        root  mem       REG              253,0      85544    1867815 /lib64/libz.so.1.2.3
rsyslogd   5380        root  mem       REG              253,0      53448    1867801 /lib64/librt-2.5.so
rsyslogd   5380        root  mem       REG              253,0      92816    1868016 /lib64/libresolv-2.5.so
rsyslogd   5380        root  mem       REG              253,0      20384    1867990 /lib64/rsyslog/lmnsd_ptcp.so
rsyslogd   5380        root  mem       REG              253,0      53880    1867802 /lib64/libnss_files-2.5.so
rsyslogd   5380        root  mem       REG              253,0      23736    1867800 /lib64/libnss_dns-2.5.so
rsyslogd   5380        root  mem       REG              253,0      20768    1867988 /lib64/rsyslog/lmnet.so
rsyslogd   5380        root  mem       REG              253,0      11488    1867982 /lib64/rsyslog/imfile.so
rsyslogd   5380        root  mem       REG              253,0      24040    1867983 /lib64/rsyslog/imklog.so
rsyslogd   5380        root  mem       REG              253,0      11536    1867987 /lib64/rsyslog/imuxsock.so
rsyslogd   5380        root  mem       REG              253,0      13152    1867989 /lib64/rsyslog/lmnetstrms.so
rsyslogd   5380        root  mem       REG              253,0       8400    1867992 /lib64/rsyslog/lmtcpclt.so
rsyslogd   5380        root    0r      REG                0,3          0 4026531848 /proc/kmsg
rsyslogd   5380        root    1u     IPv4         1200589517        0t0        TCP 10.10.10.90 t:40629->10.10.10.90:5514 (ESTABLISHED)
rsyslogd   5380        root    2u     IPv4         1200589527        0t0        UDP *:45801 
rsyslogd   5380        root    3w      REG              253,3   17999744    2621483 /var/log/messages
rsyslogd   5380        root    4w      REG              253,3      13383    2621484 /var/log/secure
rsyslogd   5380        root    5w      REG              253,3       7180    2621493 /var/log/maillog
rsyslogd   5380        root    6w      REG              253,3      43321    2621529 /var/log/cron
rsyslogd   5380        root    7w      REG              253,3          0    2621494 /var/log/spooler
rsyslogd   5380        root    8w      REG              253,3          0    2621495 /var/log/boot.log
rsyslogd   5380        root    9r      REG              253,3 1064271998    2621464 /var/log/custom-application.monolog.log
rsyslogd   5380        root   10u     unix 0xffff81081fad2e40        0t0 1200589511 /dev/log

您可以看到实际上正在读取的日志文件远不及28 个。

我真的必须监控一个文件，所以我将它移到顶部，然后它会拾取它，但我希望能够监控所有 28 个以上的文件，而不必担心。

操作系统是

Centos 5.5 

Kernel 2.6.18-308.el5

rsyslogd 3.22.1, compiled with:
    FEATURE_REGEXP:             Yes
    FEATURE_LARGEFILE:          Yes
    FEATURE_NETZIP (message compression):   Yes
    GSSAPI Kerberos 5 support:      Yes
    FEATURE_DEBUG (debug build, slow code): No
    Atomic operations supported:        Yes
    Runtime Instrumentation (slow code):    No

问题：

为什么 rsyslogd 只监控非常小的文件子集？我该如何解决这个问题以便监控所有文件？

3 个回答

Voted

chutz · Answer 1 · 2012-11-16T18:19:50+08:00

Best Answer

chutz

2012-11-16T18:19:50+08:002012-11-16T18:19:50+08:00

我知道其中一些是显而易见的，但这里有一些我会尝试的东西......

验证状态文件名是否唯一
验证每个都$InputFileName指向现有的常规文件
给它一些时间。默认的轮询间隔是 10 秒，感觉像是永恒
清楚地展示什么是行不通的。您的问题表明，文件的监控并非仅基于lsof. 您没有提及您是否真的尝试写入有问题的文件之一，等待 10 秒，并且输出日志中没有显示任何内容。并演示您如何验证被正确监控的文件。
尝试取出一些被监控的文件。也许只有一个受监视的文件有问题，这使得 rsyslog 也忽略了其余文件。知道它是哪一个会有所帮助。

如果有帮助，我有一个 CentOS 5.5 和相同版本的 rsyslog。我尝试了 40 个文件，rsyslog 能够监控所有文件。所以我知道它可以正常工作。

5

sonicseaweed · Answer 2 · 2016-03-21T22:13:22+08:00

sonicseaweed

2016-03-21T22:13:22+08:002016-03-21T22:13:22+08:00

这个问题已经有一个公认的答案，但以防万一其他人需要这个。

根据rsyslog 文档，默认值为PersistStateInterval0（$InputFilePersistStateInterval在 imfile 模块的上下文中）意味着 rsyslog 文件仅在inputfile关闭时写入。这意味着如果您有一个连续打开的日志文件，它似乎不起作用。

如果遇到这个问题，请尝试设置$InputFilePersistStateInterval一个较低的值（仅用于测试），比如 2 或 3，然后一旦输入文件写入了该行数，它们将被传递到 rsyslog。

2

b0ti · Answer 3 · 2012-11-08T14:19:56+08:00

b0ti

2012-11-08T14:19:56+08:002012-11-08T14:19:56+08:00

我不能说这是一个错误还是打算以这种方式工作。即使文件未打开，也可以对其进行监视。调用stat(2)并检查 mtime/size 将提示自上次读取以来是否有任何变化。至少这就是 nxlog 的工作方式，如果您需要监视超过 28 个文件描述符，它可以避免用完文件描述符。

0

rsyslogd 没有监控所有文件

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

rsyslogd 没有监控所有文件

3 个回答

相关问题