问题[rsyslog](server)

为什么 rsyslog 可能会记录来自 systemd 日志的重复消息？

我知道有关 systemd 日志损坏的已知问题（请参阅此处“目的”部分下的警告： https: //www.rsyslog.com/doc/configuration/modules/imjournal.html），但我不认为这是我遇到的问题。我正在运行 Ubuntu 24.04、rsyslog 8.2312.0-3ubuntu9 和 systemd 255.4-1ubuntu8.4。

我有多个主机运行名为“foobar”的应用程序作为 systemd 服务，并记录到 systemd 日志中。我还运行 rsyslog 作为 systemd 服务，它配置为将 JSON 格式的 foobar 日志从 systemd 日志转发到中央日志服务器。每个主机上的 rsyslog 配置如下：

module(load="imjournal" StateFile="journalState" IgnorePreviousMessages="on")
module(load="mmjsonparse")
    
template(name="foobarJSON" type="string" string="%TIMESTAMP% %HOSTNAME% %syslogtag% @cee: %$!all-json%\n" )

if $syslogfacility-text == "user" and $programname == "foobar" then {
    user.* action(type="omfwd" target="central-logs.server" port="514" protocol="tcp" template="foobarJSON")
}

我还在中央日志服务器上将 rsyslog 作为 systemd 服务运行，并将来自每个服务器的 foobar 日志写入每个主机单独子目录内的本地文件。此主机上的 rsyslog 配置如下：

module(load="imtcp")
input(type="imtcp" address="123.456.789.0" port="514")

template(name="foobarHostLogs" type="string" string="/var/logs/%PROGRAMNAME%/%HOSTNAME%/%$year%/%$month%/%$day%.log")

module(load="builtin:omfile" DirCreateMode="0755")

if $fromhost-ip != '127.0.0.1' then {
    action(type="omfile" dynaFile="foobarHostLogs")

    & stop
}

在任何 foobar 主机上运行 journalctl -u foobar 时，我都看不到任何重复的消息。但是，在查看中央日志服务器上的日志文件时，我发现每条消息都是重复的：至少有一条消息仅包含来自 systemd 日志的“msg”字段（尽管有时我会看到两行相同的消息仅包含“msg”），紧接着是一行具有完全相同的时间戳和“msg”值以及来自 systemd 日志的所有其他元数据字段。

例如（我从下面的第二行删除了几个多余的字段，但希望您明白我的意思）：

2024-09-15T00:00:00+00:00 host-a foobar[123456]: @cee: { "msg": "Hello, world!" }
2024-09-15T00:00:00+00:00 host-a foobar[123456]: @cee: { "_TRANSPORT": "journal", "_PID": "123456", "_UID": "1000", "_GID": "1000", "_COMM": "foobar", "_EXE": "\/usr\/local\/bin\/foobar", "_CMDLINE": ".\/foobar", "_CAP_EFFECTIVE": "0", "_SELINUX_CONTEXT": "unconfined\n", "MESSAGE": "Hello, world!", "msg": "Hello, world!" }

我使用 /var/rsyslog/foo.conf 配置 rsyslog 服务器以接受 udp 消息

$ModLoad imudp
$UDPServerRun 514

并尝试将以“foo”开头的日志内容过滤到/var/log/foo.log。我尝试了几种过滤器。

:msg, contains, "foo" /var/log/foo.log
:msg, startswith, "foo" /var/log/foo.log
:msg, regex, "'^\s*foo.*" /var/log/foo.log
if $msg startswith 'foo' then /var/log/foo.log;

什么都不起作用。我可以在 /vag/log/syslog 中获得正确的信息，但无法过滤它并将其输出到 foo.log。我从 syslog 收到的消息如下：

 2023-12-02T17:06:20.852836+00:00 foo

这证明udp和一般日志记录是好的。但不知道为什么过滤器不起作用。

我的rsyslog服务器版本是8.2302.0，操作系统是Debian 12。

我已经通过 rsyslog TCP/SSL 配置了从我的一台服务器到中央日志服务器的远程日志记录

一切正常，直到昨天，大多数文件刚刚停止传输，而有些文件仍在日志服务器中发送/更新。

我的 /etc/rsyslog.d/ 中有这个特定的配置

$ModLoad imfile    #Load the imfile input module

# poll every 10s
$InputFilePollInterval 10

# myfile
$InputFileName /var/log/data/myFile.log 
$InputFileTag myFile: 
$InputFileStateFile stat-myFile  
$InputFileSeverity Info
$InputFileFacility local3
$InputRunFileMonitor

当我检查文件时，它会被我的应用程序更新

ls -la /var/log/data
-rw-r--r-- 1 adm adm  2666 Apr 22 08:52 myFile.log

当我尝试检查从该客户端到我的远程日志服务器的建立连接时，它似乎没问题（netstat -tulpan | grep syslog）

tcp 0 0:42724:10514 已建立 31839/rsyslogd

然而，当我检查日志服务器时，我将来自客户端的远程日志存储在 /var/log/remotelogs//

奇怪的是，一些文件（例如 systemd.log、sshd.log、rsyslogd.log、..）实时正确更新...但 myFile.log 不是

ls -la /var/remotelogs/<clientIP>
-rw-r----- 1 root root   1945150 Apr 21 15:07 myFile.log

如您所见.. 我的时间昨天下午 3 点左右它停止了... 是什么？还要检查服务器上的网络连接，一切似乎都是合法的......

$ sudo netstat -tulpan | grep syslog
tcp        0      0 0.0.0.0:10514           0.0.0.0:*               LISTEN      3608119/rsyslogd    
tcp        0      0 <serverIP>:10514      <clientIP>:42724       ESTABLISHED 3608119/rsyslogd      
tcp6       0      0 :::10514                :::*                    LISTEN      3608119/rsyslogd  

知道什么可能是错的吗？为什么有些文件没有传输而有些文件传输了？

我希望将我的 rsyslog 时间戳格式更改为特定日志文件 (msg) 的 RFC-3339。

我有以下文件/etc/rsyslog.d/10-zn.conf ，其内容如下：

:msg, contains, "my_prefix"       /var/log/zn.log

这意味着将所有包含“my_prefix”的行保存到/var/log/zn.log。

我希望将时间戳从 RSYSLOG_TraditionalFileFormat 更改为 %b %d %H:%M:%S 到 RFC-3339 但我可以找出如何为包含我的前缀的日志执行此操作，有什么办法吗它？

谢谢你

我正在使用 Graylog 服务器来集中来自网络设备和服务器的日志，我想知道交换机、Windows 机器和其他设备上的 Syslog 服务是否仍会在本地保存日志，或者只是远程发送它们并停止本地日志记录过程？

我在此处遵循 NXLog 的说明：https ://nxlog.co/documentation/nxlog-user-guide/linux-logs.html#linux_logs_forwarding_socket_example在 80.2 下关于将 syslog 消息转发到 NXLog。

它特别指出要重新启动 NXLog，然后重新启动 rsyslog，以便 NXlog 可以在 rsyslog 尝试写入之前创建套接字。

我的问题是，在重新启动期间，在不同版本的 Linux 中，哪个服务将首先启动是不明确的，我的猜测是 syslog 可能首先启动。如果 rsyslog 在 nxlog 之前启动会发生什么？rsyslog 会在 nxlog 启动并创建后恢复并开始写入套接字吗？

我面临问题。我有两个不同的harpxoylinux 服务器（在不同的网络范围内）。在一台服务器上，我可以看到日志文件中生成了日志，但在另一台服务器上，日志文件中没有生成日志。

我已经比较了来自两台服务器的几乎所有可能的配置文件，它们看起来相同，但仍然找不到问题所在的线索。

Working服务器 -

[root@<hostname> ~]# tail -f  /var/log/haproxy*.log
 
==> /var/log/haproxy.log <==
 
==> /var/log/haproxy-status.log <==
 
==> /var/log/haproxy-traffic.log <==
Oct 28 20:32:48 localhost haproxy[1347]: source_ip:52675 [28/Oct/2021:20:32:46.269] ssl~ logs/es_server1 98/0/1/1391/1950 200 103475 - - --VN 43/0/0/0/0 0/0 "POST /api/telemetry/v2/clusters/_stats HTTP/1.1"
Oct 28 20:33:47 localhost haproxy[1347]: source_ip:52709 [28/Oct/2021:20:33:46.294] ssl~ logs/es_server1 125/0/0/1426/1589 200 103369 - - --VN 43/0/0/0/0 0/0 "POST /api/telemetry/v2/clusters/_stats HTTP/1.1"

文件的所有权

-rw------- 1 root root       0 Jan 19  2020 /var/log/haproxy-status.log
-rw------- 1 root root 1980957 Oct 28 20:45 /var/log/haproxy-traffic.log
[root@<hostname> ~]#

ls -l /etc/rsyslog.d/haproxy.conf
-rw-r--r-- 1 root root 265 Jan 14  2020 /etc/rsyslog.d/haproxy.conf

/etc/rsyslog.d/haproxy.conf

# Collect log with UDP
$ModLoad imudp
$UDPServerAddress 127.0.0.1
$UDPServerRun 514
 
# Creating separate log files based on the severity
local0.* /var/log/haproxy-traffic.log
local0.notice /var/log/haproxy-admin.log
 
# don't put anything in /var/log/messages
& stop

rsyslog.conf文件 -

[root@<hostname> ~]# cat /etc/rsyslog.conf |grep -v '#'

$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
local6.*,auth.*,authpriv.*      @10.1.x.x

/etc/haproxy/haproxy.cfg文件 -

global
    user haproxy
    group haproxy
    daemon
    stats socket 127.0.0.1:14567
    log 127.0.0.1:514 local0 debug
 
defaults
    mode http
    log /dev/log local1 notice
 
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms
    option httpclose
    option forwardfor except 127.0.0.0/8
    option redispatch
    option abortonclose
    option httplog
    option dontlognull
    .
    .

配置中提到的两个端口haproxy都已启动。

[root@<hostname> ~]#  netstat -tulnp |grep 514
udp        0      0 127.0.0.1:514           0.0.0.0:*                           1309/rsyslogd
[root@<hostname> ~]#
 
[root@<hostname> ~]#  netstat -antp |grep 14567
tcp        0      0 127.0.0.1:14567         0.0.0.0:*               LISTEN      1347/haproxy
[root@<hostname> ~]#

logs-

journalctl -fu rsyslog

Oct 28 15:00:10 <hostname> rsyslogd[1309]: imjournal: journal reloaded... [v8.24.0-57.el7_9.1 try http://www.rsyslog.com/e/0 ]
Oct 28 20:40:54 <hostname> rsyslogd[1309]: imjournal: journal reloaded... [v8.24.0-57.el7_9.1 try http://www.rsyslog.com/e/0 ]

[root@<hostname> ~]# journalctl -fu haproxy

-- Logs begin at Wed 2021-10-27 02:30:13 +03. --
Oct 27 20:28:29 <hostname> haproxy[1347]: Server tomcat-apps/App_server1 is DOWN, reason: Layer7 timeout, check duration: 2001ms. 0 active and 0 backup servers left. 0 sessions active, 0 requeued, 0 remaining in queue.

访问日志也出现在message日志中。

cat /var/log/messages | grep haproxy

Oct 28 21:27:47 localhost haproxy[1347]: source_ip:54604 [28/Oct/2021:21:27:46.309] ssl~ logs/es_server1 98/0/1/1364/1550 200 103362 - - --VN 43/0/0/0/0 0/0 "POST /api/telemetry/v2/clusters/_stats HTTP/1.1"
Oct 28 21:28:47 localhost haproxy[1347]: source_ip:54635 [28/Oct/2021:21:28:46.307] ssl~ logs/es_server1 151/0/0/1397/1647 200 103361 - - --VN 43/0/0/0/0 0/0 "POST /api/telemetry/v2/clusters/_stats HTTP/1.1"

Non-working服务器 -

以下文件没有登录

[root@<hostname> ~]# tail -f  /var/log/haproxy*.log 
==> /var/log/haproxy.log <==
 
==> /var/log/haproxy-status.log <==
 
==> /var/log/haproxy-traffic.log <==

所有权与上述相同

[root@<hostname> ~]# ls -l /var/log/haproxy*.log
-rw------- 1 root root 0 Sep  4  2020 /var/log/haproxy.log
-rw------- 1 root root 0 Sep  4  2020 /var/log/haproxy-status.log
-rw------- 1 root root 0 Oct 28 20:23 /var/log/haproxy-traffic.log
[root@<hostname> ~]#

ls -l /etc/rsyslog.d/haproxy.conf
-rw-r--r-- 1 root root 265 Aug  4 20:15 /etc/rsyslog.d/haproxy.conf

/etc/rsyslog.d/haproxy.conf

# Collect log with UDP
$ModLoad imudp
$UDPServerAddress 127.0.0.1
$UDPServerRun 514
 
# Creating separate log files based on the severity
local0.* /var/log/haproxy-traffic.log
local0.notice /var/log/haproxy-admin.log
 
# don't put anything in /var/log/messages
& stop

cat /etc/rsyslog.conf |grep -v '#'

$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
local6.*    @@10.1.x.x

/etc/haproxy/haproxy.cfg文件

global
    user haproxy
    group haproxy
    daemon
    stats socket 127.0.0.1:14567
    log 127.0.0.1:514 local0 debug
 
defaults
    mode http
    log /dev/log local1 notice
 
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms
    option httpclose
    option forwardfor except 127.0.0.0/8
    option redispatch
    option abortonclose
    option httplog
    option dontlognull

ports- 这里有一些连接处于TIME_WAIT端口状态14567

[root@<hostname> ~]# netstat -tulnp |grep 514
udp        0      0 127.0.0.1:514           0.0.0.0:*                           21740/rsyslogd
[root@<hostname> ~]#
 
 
[root@<hostname> ~]# netstat -antp |grep 14567
tcp        0      0 127.0.0.1:14567         0.0.0.0:*               LISTEN      18749/haproxy
tcp        0      0 127.0.0.1:14567         127.0.0.1:36168         TIME_WAIT   -
tcp        0      0 127.0.0.1:14567         127.0.0.1:36170         TIME_WAIT   -
tcp        0      0 127.0.0.1:14567         127.0.0.1:36242         TIME_WAIT   -
tcp        0      0 127.0.0.1:14567         127.0.0.1:36348         TIME_WAIT   -
tcp        0      0 127.0.0.1:14567         127.0.0.1:36332         TIME_WAIT   -

检查logs但没有找到与此问题相关的任何内容。

journalctl -fu rsyslog
 
Oct 28 21:00:01 <hostname> rsyslogd[21740]: action 'action 9' resumed (module 'builtin:omfwd') [v8.24.0-57.el7_9.1 try http://www.rsyslog.com/e/2359 ]
Oct 28 21:00:01 <hostname> rsyslogd[21740]: action 'action 9' resumed (module 'builtin:omfwd') [v8.24.0-57.el7_9.1 try http://www.rsyslog.com/e/2359 ]

[root@<hostname> ~]#  journalctl -fu haproxy
-- Logs begin at Thu 2021-10-28 10:23:25 +03. --
Oct 28 16:34:17 <hostname> haproxy[11346]: Proxy stats started.
Oct 28 19:59:29 <hostname> systemd[1]: Stopping HAProxy Load Balancer...
Oct 28 19:59:29 <hostname> haproxy-systemd-wrapper[11345]: haproxy-systemd-wrapper: SIGTERM -> 11347.
Oct 28 19:59:29 <hostname> haproxy[18748]: Proxy ssl started.
Oct 28 19:59:29 <hostname> haproxy[18748]: Proxy stats started.

这里的message日志文件有haproxy access日志，但它不会进入其单独的文件。

cat /var/log/messages | grep  haproxy
 
Oct 28 10:19:52 <hostname> audispd: node=<hostname> type=SERVICE_START msg=audit(1635405592.054:45): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=haproxy comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
Oct 28 10:19:52 <hostname> haproxy[1749]: Proxy ssl-pingaccess started.
Oct 28 10:19:52 <hostname> haproxy[1749]: Proxy ssl started.
 
Oct 28 10:19:52 <hostname> haproxy[1749]: Server ssl-pingaccess/192.168.157.41 is DOWN, reason: Layer4 connection problem, info: "Connection error during SSL handshake (Connection refused) at initial connection step of tcp-check", check duration: 0ms. 0 active and 0 backup servers left. 0 sessions active, 0 requeued, 0 remaining in queue.
Oct 28 10:19:52 <hostname> haproxy[1749]: backend ssl-pingaccess has no server available!

这些文件在两台服务器上都是相同的

both are same
 
/usr/lib/systemd/system/rsyslog.service
 
/usr/lib/systemd/system/haproxy.service
 
/etc/sysconfig/haproxy
 
/etc/sysconfig/rsyslog
 
/etc/logrotate.d/haproxy

都有rsyslog-8.24.0-57.el7_9.1.x86_64和haproxy-1.5.18-9.el7_9.1.x86_64包。

两台服务器上的配置几乎相同，但在非工作服务器上，日志不会进入其自己的日志文件。

任何人都可以请帮忙。

谢谢，

所以这是我们的设置

服务器：rsyslog 服务器 - CentOS 7

客户端：Cisco Catalyst C6880-X-LE

/etc/rsyslog.conf 从 CentOS 7 服务器：

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal

$template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?TmplAuth
*.info;mail.none;authpriv.none;cron.none ?TmplMsg
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

由于文件夹中的某种原因，/var/log/client_logs每次在交换机上生成新的日志消息时，cisco 日志都会创建一个新的 .log 文件。这显然不理想，我希望 rsyslog 将所有日志放在一个文件中，并且我计划让 logrotate 处理每天创建一个新的日志文件。

这是我在/var/log/client_logs目录中看到的示例

-rw------- 1 root root 184 Oct 13 14:30 156598.log
-rw------- 1 root root 164 Oct 13 14:30 156599.log
-rw------- 1 root root 186 Oct 13 14:30 156600.log
-rw------- 1 root root 162 Oct 13 14:30 156601.log
-rw------- 1 root root 184 Oct 13 14:30 156602.log
-rw------- 1 root root 164 Oct 13 14:35 156603.log
-rw------- 1 root root 186 Oct 13 14:35 156604.log
-rw------- 1 root root 162 Oct 13 14:35 156605.log
-rw------- 1 root root 184 Oct 13 14:35 156606.log
-rw------- 1 root root 164 Oct 13 14:35 156607.log
-rw------- 1 root root 186 Oct 13 14:35 156608.log
-rw------- 1 root root 162 Oct 13 14:35 156609.log
-rw------- 1 root root 184 Oct 13 14:35 156610.log
-rw------- 1 root root 162 Oct 13 14:39 156611.log
-rw------- 1 root root 164 Oct 13 14:41 156612.log
-rw------- 1 root root 186 Oct 13 14:41 156613.log
-rw------- 1 root root 162 Oct 13 14:41 156614.log
-rw------- 1 root root 184 Oct 13 14:41 156615.log

考虑到它正在为从 Cisco 交换机发送的每条新消息创建一个 .log，这将永远持续下去。以下是这些日志文件之一的内容示例

2021-10-13T14:41:10.866435-07:00 X 156613: X-Switch: .Oct 13 13:40:44 PST: %LINEPROTO-SW1-5-UPDOWN: Line protocol on Interface GigabitEthernet195/1/0/11, changed state to down

我不确定问题出在 Cisco 交换机上的配置还是我的 rsyslog 配置上，但我之前已经这样做过，并且从未遇到过为发送到服务器的每条消息创建新的 .log 文件的任何问题。

这是 Cisco 交换机端的配置

Switch1#show run | include logging
logging userinfo
logging reload debugging
logging event link-status default
logging origin-id hostname
logging host 10.1.1.1
 logging synchronous
 logging synchronous

仅供参考，该logging host语句是 CentOS 7 rsyslog 服务器的 IP 地址。从其他主机捕获的所有其他日志都很好，并且不会为收到的每条消息创建新的 .log 文件，但是发送日志的其他系统不是 Cisco 交换机，它们都是各种 Linux 风格（主要是 CentOS 和 RHEL）。

知道为什么 rsyslog 会为它从这个 Cisco Catalyst 交换机收到的每条消息创建新的 .log 文件吗？

在系统日志（Raspbian rsyslog swVersion="8.1901.0"）中，

我正在尝试将包含特定字符串的系统消息匹配/过滤到/var/log/syslog（默认）和自定义单独的日志文件，即：/var/log/nut.log.

我已经能够通过将以下过滤器行放入来实现/etc/rsyslog.conf：

# NUT logging: Include USB msgs since montoring UPS via only USB
:msg,contains,"USB" /var/log/nut.log
& stop
:msg,contains,"nut-" /var/log/nut.log
& stop

& stop一旦进行匹配，就需要停止过滤器。我相信首选方法是将其放在专用文件中，即：/etc/rsyslog.d/0-nut.conf

但是，当我这样做时，过滤器会停止记录到/var/log/syslog，并专门记录到/var/log/nut.log... ？

有不同的方法可以做到这一点吗？

谢谢！

我有以下配置/etc/logrotate.d/rsyslog：

/var/log/syslog
{
        rotate 7
        size 1G
        missingok
        notifempty
        delaycompress
        compress
        postrotate
          invoke-rc.d rsyslog rotate >/dev/null
        endscript
}

据我了解，我已经设置了它，所以如果/var/log/syslog达到1G大小，它会自行旋转。此外，系统将保持 7 次旋转。

在测试中，我这样做了：

cat /dev/null > /var/log/syslog
base64 /dev/urandom | head -c 999999999 > /var/log/syslog
logger -s "hello"

然后我这样做了：

ls -las /var/log/syslog*
976568 -rw-r----- 1 syslog adm 1000000072 Jul 28 19:11 /var/log/syslog

它显示文件大小，因为1.000000728 GB它不应该自己旋转？

应用配置时，我做了systemctl restart rsyslog