考虑以下架构:
我有一台笔记本电脑通过以太网连接到服务器。
这台笔记本电脑被配置为在服务器上使用 rsyslog 发送日志事件,服务器被配置为接受这些日志并将它们存储在一个文件中,以后可以与日志利用软件一起使用。
问题是,笔记本电脑有时可能会断开连接以在远程位置工作,然后可以在几个小时后插入。但我仍然想在重新连接后将所有本地事件传输到服务器。
我目前的想法是使用omrelp系统日志模块并将事件本地存储在磁盘队列中,但我不太确定系统日志服务器再次可用时的行为。在 relp 协议不会重新发送消息之后是否有超时/限制?或者它可能不适合我的情况。
另一种解决方案是创建自定义脚本以在重新连接后协调客户端和服务器之间的日志,但我想知道是否有更好的解决方案。
关于手册页syslog有不同的设施(例如USER)。根据进入不同日志文件(例如,...)的设施日志/var/log/syslog消息/var/log/messages。
我认为这在所有现有的 unixoid(或基于 GNU/Linux)的发行版之间不是 100% 相等的。我可以询问正在运行的syslog实例当前使用哪些日志文件吗?
当用户更改密码或其他用户的密码时,我如何捕获(如果某处有日志文件)?
我看到了这个日志,但我无法确定谁更改了用户 XXXX 的密码
Mar 31 12:41:52 UBGGH passwd: pam_unix(passwd:chauthtok): password changed for XXXX
我使用 centos 版本 7
我有这种奇怪的行为,我的绑定服务器只是将信息转发到我的远程系统日志服务器并通知错误。
named.conf 文件的当前配置是:
logging {
channel syslog
syslog localo;
severity info;
print-severity yes;
print-category yes;
print-time yes;
};
当然,在两个 rsyslog.conf 中,bind 的行都是:local0.* 不过我遇到了这个问题,也许我错过了一些东西。
在http://www.cs.newpaltz.edu/~easwaran/Resources/commands.html上,以下命令被列为“刷新 syslog 进程”:
kill -1 `cat /var/run/syslogd.pid`
我在嵌入式设备上的实际使用中看到了这个命令,但我无法理解为什么有人会使用它以及它是如何工作的。
我知道这是由单个部分组成的,但是例如为什么cat使用HUP信号杀死子外壳对我来说没有意义。
CPU 为AMD GX-412TC SOC:
GX-412TC GE412TIYJ44JB 4 6W 2MB 1.0GHz/ 1.4GHz N/AN/A DDR-1333 0-90°C
没有rdrand:
grep rdrand /proc/cpuinfo
# nothing
我syslog在机器启动后看到以下消息:
kernel: random: dd: uninitialized urandom read (512 bytes read)
kernel: random: cryptsetup: uninitialized urandom read (32 bytes read)
这些消息到底是什么意思,我能做些什么呢?
这是否意味着dd并cryptsetup尝试从 读取/dev/urandom,但没有足够的熵?
我正在使用haveged守护程序,但在出现此消息后,它在引导过程的后期启动。
这是我的启动脚本启动顺序:
/etc/rcS.d/S01hostname.sh
/etc/rcS.d/S01mountkernfs.sh
/etc/rcS.d/S02mountdevsubfs.sh
/etc/rcS.d/S03checkroot.sh
/etc/rcS.d/S04checkfs.sh
/etc/rcS.d/S05mountall.sh
/etc/rcS.d/S06bootmisc.sh
/etc/rcS.d/S06procps
/etc/rcS.d/S06urandom
/etc/rcS.d/S07crypto-swap
/etc/rc2.d/S01haveged
/etc/rc2.d/S01networking
/etc/rc2.d/S04rsyslog
/etc/rc2.d/S05cron
/etc/rc2.d/S05ssh
syslog 中的消息来自以下两个脚本:
/etc/rcS.d/S06urandom -> dd
/etc/rcS.d/S07crypto-swap -> cryptsetup
应该haveged在开始之前urandom?
我正在使用 Debian 10。
另外,我应该补充一点,这台机器是一块裸板,没有键盘。唯一的接口是串行控制台。我认为这会对可用熵产生影响,这也是我haveged首先安装的原因。没有haveged,sshd守护程序将在几分钟内无法启动,因为它没有足够的熵。
显然,Alpine Linux 的默认库 musl不支持lastlog. 通常,您将使用 Alpine 部署不需要这种支持的容器,但它也可以用于为用户提供轻量级虚拟机支持,例如用于教学目的。有没有模拟 lastlog 的包,或者有没有办法处理 syslog 来生成 lastlog?
我运行一个修改/var/log/security.
如果有人试图通过 连接到我的服务器ssh,此事件将写入/var/log/security。(我已设置firewall_enable="YES"和 firewall_logging="YES"in /etc.rc.conf)
该脚本通过在行尾添加一些符号(例如,符号!)来查找和标记某些行。
但是在更改文件后,/var/log/security ipfw事件不再写入它。只会/etc/rc.d/syslogd restart有帮助。我能做些什么?
所以,我systemd用来将日志发送到rsyslog,并且我想将日志写入/var/log/app.log.
由于它是一个具有自己的日志格式的 Java 应用程序,我不想在上面有时间戳或任何东西,只是消息本身。
我到目前为止是这样的:
[Unit]
Description=My App
After=network-online.target
Wants=network-online.target
[Service]
Type=simple
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=myapp
ExecStart=/usr/bin/java -jar /opt/app.jar
Restart=on-failure
[Install]
WantedBy=multi-user.target
然后我有/etc/rsyslog.d/myapp.conf文件:
template(name="clean" type="string" string="%msg:2:$:drop-last-lf%\n")
if $programname == 'myapp' then action(type="omfile" file="/var/log/app.log" template="clean")
& stop
如果我理解正确,如果程序名称是myapp,它应该使用clean模板并将日志保存到/var/log/app.log然后停止。
这行得通,除了它还将日志发送到/var/log/syslog.
如何防止它也将这些日志保存到 syslog?
我有一个嵌入式系统,运行带有内核 3.10.105 的 Buildroot Linux 的精简安装。显然大多数命令来自这里的 BusyBox,而且似乎这些命令并不总是实现常规对应项的全部功能......我想知道这里是否也没有实现更持久的日志记录,或者这可以配置?
因此,如果我执行 htop,我会看到 syslogd 和 klogd 正在运行。我可以在文件 /var/log/messages 中看到最近的内核消息。但是,该日志文件夹中没有 kern.log。里面只有:messages、resolv.conf、sshd,然后是文件夹:dbus、subsys。
我想在重新启动后检查 kern.log (或任何等效文件),以查看在使用某个驱动程序时系统冻结之前发生了什么。
我可以使用 BusyBox 工具执行此操作吗?
编辑:由于评论的一些注释:
配置:当我输入 syslogd --help 时,它提到“这个版本的 syslogd 忽略 /etc/syslog.conf ”。根据 htop,它使用选项 -n 运行,根据此帮助输出,该选项表示“在前台运行”。文件参数的唯一选项是:-O FILE,它说默认是 /var/log/messages,所以它是“实时”文件。