所以我试图在启用 systemd 的系统上启动服务。服务名称是ossec-hids-authdossec(入侵检测软件)中的身份验证引擎(代理)。当我去启动 init 脚本然后 systemctl 超时并且在获取状态时我看到这个错误。
/etc/init.d/ossec-hids-authd status
? ossec-hids-authd.service - LSB: Authentication Daemon for OSSEC-HIDS.
Loaded: loaded (/etc/rc.d/init.d/ossec-hids-authd; bad; vendor preset: disabled)
Active: failed (Result: timeout) since Thu 2018-02-22 07:34:28 UTC; 11min ago
Docs: man:systemd-sysv-generator(8)
Feb 22 07:24:11 ip-10-0-197-117.ec2.internal systemd[1]: Starting LSB: Authentication Daemon for OSSEC-HIDS....
Feb 22 07:24:11 ip-10-0-197-117.ec2.internal ossec-hids-authd[21142]: [39B blob data]
Feb 22 07:24:11 ip-10-0-197-117.ec2.internal systemd[1]: PID file /var/run/ossec-authd.pid not readable (yet?) after start.
Feb 22 07:24:11 ip-10-0-197-117.ec2.internal ossec-hids-authd[21142]: 2018/02/22 07:24:11 ossec-authd: INFO: …我正在使用rsyslog v5.8.11. 我从rsyslog重新启动时的日志中找到了这个版本号。我正在尝试应用速率限制,rsyslog但它没有用。我仍然丢失消息。在配置文件中,我将这些选项用于实现速率限制
$SystemLogRateLimitInterval 5
$SystemLogRateLimitBurst 10000
这没有用,因为我仍然以相同的速度丢失消息。我什至试图把
$SystemLogRateLimitInterval 0
这应该停止了 的速率限制功能,rsyslog但什么也没发生。我仍然丢失消息。这些日志对我来说很重要。有什么办法可以阻止在rsyslog.
更新
重新启动时,我也在 rsyslog 日志中发现了这一点。
rsyslogd: invalid selector line (port), probably not doing what was intended
正在丢失与此错误有关的日志。
有日志显示我由于速率限制而丢失日志。
rsyslogd-2177: imuxsock begins to drop messages from pid 25810 due to rate-limiting
rsyslogd-2177: imuxsock lost 103 messages from pid 25810 due to rate-limiting
无论我应用什么设置,都会出现这种类型的日志。如果由于 UDP 导致日志丢失,rsyslog 也会以这种方式记录吗?