我已经运行 Ubuntu VPS 几个星期了,所以昨天发生了几次每月的日志轮换。对于像/var/log/wtmp预期那样的事情:logfile有最近的条目,而logfile.1旧的条目。但是,/var/log/syslog即使在重新启动 rsyslog 之后,现在也是空的。有任何想法吗?
我应该提到,这不是类似问题Syslog not logging anything的重复。由于我没有任何修改的默认设置,/var/log/syslog 则默认包含在/etc/rsyslog.d/50-default.conf:
*.*;auth,authpriv.none -/var/log/syslog
提前致谢。
在我的小型 Debian 挤压网络服务器上,我安装了 syslog-ng(不是syslogd,就像在这个问题中一样)。一般来说,我的原木很好很安静,有
-- MARK --
线。/var/log/syslog然而,我的到处都是这个
Sep 23 23:09:01 bookchin /USR/SBIN/CRON[24885]: (root) CMD ( [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -delete > /dev/null)
Sep 23 23:09:01 bookchin /USR/SBIN/CRON[24886]: (root) CMD ( [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm > /dev/null)
Sep 23 23:17:01 bookchin /USR/SBIN/CRON[24910]: (root) CMD ( cd / && run-parts …我在系统日志中收到这样的消息。
rsyslogd-2177: imuxsock lost 21869 messages from pid 3418 due to rate-limiting
rsyslogd-2177: imuxsock begins to drop messages from pid 3427 due to rate-limiting
我的服务器在最近几天变得没有响应,我必须重新启动机器 2-3 次。
请让我知道这些消息可能是什么,以及这些消息是否可能是服务器停机的原因。
Munin 非常冗长,并且在每次运行时都会将一堆内容记录到munin-graph.log、munin-html.log和munin-limits.log中。munin-update.logmunin-cron
log_level 0我已经通过在munin-node.conf中设置来降低 munin-node 日志记录级别,效果很好。munin-node.log仅在生成错误消息时更新。
不过我也尝试在 中添加相同的选项munin.conf,但它使 munin 崩溃。
如何减少 munin 写入的日志量?
在我的standalone.xml,我有这样的syslog-handler配置:
<syslog-handler name="SYSLOG" enabled="true">
<level name="INFO"/>
<hostname value="i-XXXXXXX"/>
<formatter><syslog-format syslog-type="RFC3164"/></formatter>
</syslog-handler>
...
<root-logger>
<level name="INFO"/>
<handlers>
<handler name="SYSLOG"/>
<handler name="CONSOLE"/>
<handler name="FILE"/>
</handlers>
</root-logger>
然而,没有输出传送到/var/log/syslog. 如果我用 启动 jboss standalone.sh | logger,我会在那里看到输出,所以我认为我的 rsyslogd 设置/工作合理(一个股票的 Ubuntu 安装,FWIW)。
我的用户经常要求我负责知道事件是否没有发生。
我总是不得不使用 cron'ed shell 脚本和大量日期边缘案例测试来构建自定义和脆弱的解决方案。
集中式日志记录应该提供一种更好、更易于维护的方式来掌握过去 N 小时内未发生的事情。像logstash通知和nagios警报之类的东西。
toppledwagon 的回答非常有帮助。o O(灯泡。)我现在有十几个批处理作业正在检查新鲜度。我想彻底公正地回答他,并跟进我如何实施他的想法。
我将 jenkins 配置为发出系统日志,logstash 捕获它们并通过 nsca 将状态更新发送到 nagios。我还使用 check_mk 使所有内容保持干燥并在 nagios 中组织起来。
:::ruby
filter {
if [type] == "syslog" {
grok {
match => [ "message", '%{SYSLOGBASE} job="%{DATA:job}"(?: repo="%{DATA:repo}")?$',
"message", "%{SYSLOGLINE}" ]
break_on_match => true
}
date { match => [ "timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] }
}
}
神奇之处在于 grok 的 match 参数中的那对双模式以及 break_on_match => true。Logstash 将依次尝试每个模式,直到其中一个匹配。
我们使用 logstash …
在 /etc/rsyslog.d/ 的文件中,我有以下内容:
local3.* /var/log/mylog.log
当我登录到该设施时,记录的时间戳如下所示:
Apr 27 21:12:20 hostname msg
我如何设置东西,使它们看起来像这样?
2014-04-27T21:12:20 hostname msg
我找到了这些针对 syslogd 的解决方案,它们在某些事件(如 local0.crit 或 local1.err)上发送电子邮件
如何让 syslogd 通过电子邮件将某些日志消息发送给我? http://www.johnandcailin.com/blog/john/how-setup-real-time-email-notification-critical-syslog-events
但是,我的系统在 systemd 上运行,因此将日志用于系统日志。如何在不运行 cron 每 5 分钟检查所有日志并将日志发送到地址或类似地址的情况下基于事件实施电子邮件?
过去,在 Windows Server 2003 中,我能够使用 evtsys ( https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys )将事件日志传送到中央网络系统日志服务器。它没有提到对 Server 2008 的支持,但确实提到了发送 Windows Vista 日志的问题。
是否有任何好的服务/实用程序甚至 PowerShell 脚本(最好是其他脚本之一,因为这不会是连续的)可以将事件日志发送到中央系统日志服务器?
我正在查看由 dhcpd 编写的一堆系统日志消息。我想写一个快速解析器,可以将消息解构为它的组成部分,但我不知道各个部分是什么意思。我认为这在某处有记录,但是我在 Google 上的简单查询(如dhcpd syslog 消息格式)未能找到任何有用的文档。