Anpassung von syslog

P

Perry_Rhodan

Member
Hallo:

root-Server mit Ubuntu 12.04 LTS 64bit und Plesk 11.0.9

in /var/log/syslog tauchen undendlich viele Einträge alla:
Code: 
Oct 11 11:46:15 server qmail-queue-handlers[7716]: Handlers Filter before-queue for qmail started ...
Oct 11 11:46:15 server qmail-queue-handlers[7716]: from=xyz
Oct 11 11:46:15 server qmail-queue-handlers[7716]: to=ich@du.de
Oct 11 11:46:15 server qmail-queue-handlers[7716]: handlers_stderr: SKIP
Oct 11 11:46:15 server qmail-queue-handlers[7716]: SKIP during call 'check-quota' handler
Oct 11 11:46:15 server qmail-queue-handlers[7716]: starter: submitter[7718] exited normally
Oct 11 11:46:15 server qmail: 1349948775.901097 new msg 28054360
Oct 11 11:46:15 server qmail: 1349948775.901146 info msg 28054360: bytes 3047 from <absender> qp$
Oct 11 11:46:16 server qmail: 1349948776.101477 starting delivery 26: msg 28054360 to remote ich@du.de
Oct 11 11:46:16 server qmail: 1349948776.101521 status: local 0/10 remote 1/20
Oct 11 11:46:16 server qmail-remote-handlers[7720]: Handlers Filter before-remote for qmail started ...
Oct 11 11:46:16 server qmail-remote-handlers[7720]: from=absender
Oct 11 11:46:16 server qmail-remote-handlers[7720]: to=empfänger
Oct 11 11:46:18 server qmail: 1349948778.198595 delivery 26: success: 000.00.00.0_accepted_message./Remote_host_said:_250$
Oct 11 11:46:18 server qmail: 1349948778.198902 status: local 0/10 remote 0/20
Oct 11 11:46:18 server qmail: 1349948778.198927 end msg 28054360
Oct 11 11:50:21 server pop3d: Connection, ip=[::ffff:00.000.00.000]
Oct 11 11:50:21 server pop3d: IMAP connect from @ [::ffff:00.000.00.000]INFO: LOGIN, user=email, ip=[::ffff:94.$
Oct 11 11:50:22 server pop3d: 1349949022.28166 LOGOUT, user=email, ip=[::ffff:00.000.00.000], top=0, retr=0, ti$
Oct 11 11:50:22 server pop3d: Connection, ip=[::ffff:00.000.00.000]
Oct 11 11:50:23 server pop3d: IMAP connect from @ [::ffff:00.000.00.000]INFO: LOGIN, user=email, ip=[::fff$
Oct 11 11:50:23 server pop3d: 1349949023.858152 LOGOUT, user=email, ip=[::ffff:00.000.00.000], top=0, retr$
Oct 11 11:50:23 server pop3d: Connection, ip=[::ffff:00.000.00.000]

auf und machen die Logdatei damit ziemlich unleserlich.

Nun möchte ich aber dies Logs nicht ganz weghaben, sondern sie sollen in ein extra zu erschaffende logdatei geschrieben werden.

Folgende Dateien habe ich vergeblicht durchsucht:

- /var/qmail/bin/qmail-smtpd
- /etc/rsyslog.conf
- /etc/rsyslog.d/plesk-mail.conf
- /etc/rsyslog.d/50-default.conf
- /etc/sysctl.conf

Ich finde einfach nicht den entsprechenden Eintrag.

Wo muß ich was ändern, damit Einträge von qmail, smtp und pop3 nicht mehr nach syslog geschrieben werden?

Gruß

Ulf
 
Verwendest du nun syslog oder rsyslog?

Die /etc/sysctl.conf hat mit dem Verhalten von syslog oder rsyslog im übrigen gar nichts zu tun, dort definiert man Kernel Parameter.
 
Last edited by a moderator:
Ich bzw. der Server verwendet rsyslog.

Kann es an folgenden Eintrag in /etc/rsyslog.d/50-default.conf
liegen?

Code: 
# First some standard log files.  Log by facility.
#
auth,authpriv.*                 /var/log/auth.log
[B]*.*;[/B]auth,authpriv.none          -/var/log/syslog
 
Last edited by a moderator:
trag doch einfach in deine rsyslog.conf ein
Code: 
mail.none
in die Zeile für /var/log/syslog ein.

Nicht vergessen: rsyslog neustarten

Was sagt im übrigen ein
Code: 
cat /var/log/mail.log
?
 
In /var/log/mail.log stehen alle Mailmeldungen noch einmal drin.

Anbei mal der Inhalt von /etc/rsyslog.d/50-default.conf

Code: 
#  Default rules for rsyslog.
#
#                       For more information see rsyslog.conf(5) and /etc/rsyslog.conf

#
# First some standard log files.  Log by facility.
#
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
#daemon.*                       -/var/log/daemon.log
kern.*                          -/var/log/kern.log
#lpr.*                          -/var/log/lpr.log
[B][I][U]mail.*                          -/var/log/mail.log[/U][/I][/B]
#user.*                         -/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#

#mail.info                      -/var/log/mail.info
#mail.warn                      -/var/log/mail.warn
mail.err                        /var/log/mail.err

#
# Logging for INN news system.
#
news.crit                       /var/log/news/news.crit
news.err                        /var/log/news/news.err
news.notice                     -/var/log/news/news.notice

#
# Some "catch-all" log files.
#
#*.=debug;\
#       auth,authpriv.none;\
#       news.none;mail.none     -/var/log/debug
#*.=info;*.=notice;*.=warn;\
#       auth,authpriv.none;\
#       cron,daemon.none;\
#       mail,news.none          -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg                                :omusrmsg:*

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
#       news.=crit;news.=err;news.=notice;\
#       *.=debug;*.=info;\
#       *.=notice;*.=warn       /dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility.  To use it,
# you must invoke `xconsole' with the `-file' option:
#
#    $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
#      busy site..
#
daemon.*;mail.*;\
        news.err;\
        *.=debug;*.=info;\
        *.=notice;*.=warn       |/dev/xconsole

Der Fette, kursive, unterstrichene Bereich sagt doch aus, das mail in mail.log loggen soll, warum loggt er zusätzlich noch in syslog?

Oder liegt es doch an dem hier?
Code: 
*.*;auth,authpriv.none          -/var/log/syslog
*.* heißt doch "alles" und warum ist auth hier UND in auth.log? Ist doch auch wieder doppelt oder nicht?

Gruß

Ulf
 
Last edited by a moderator:
Das *.* sagt, dass alles in /var/log/syslog geloggt wird. Macht insofern Sinn, dass du bei Problemen oder Analysen sämtliche Logs aller Dienste zentral an einer Stelle hast und so mögliche Zusammenhänge eher erkennst.
 
Ahja, totale Unübersichtlichkeit einer Logdatei ist also von Vorteil?

Hmm, ich muß wohl noch sehr viel lernen. Bisher bin ich davon ausgegangen, das es sinnvoll ist, schnell in Logdateien evtl. Probleme zu erkennen.

Evtl. ist aber am Ende die Datei syslog doch nicht die beste Adresse um evtl. Probleme schnell zu erkennen.

Zeigt mal wieder, wie unzureichend meine Linuxkentnisse doch noch sind.

Ich werde dann ab sofort die syslog links liegen lassen, zeigen mir doch die anderen Logdateien übersichtlicher ob und was wo los ist.

Danke für diese lehrreichen Einblicke.

Gruß

Ulf
 
Alles an eine Stelle zu loggen ist unfug, am besten man teilt das Logging verschiedener Dienste wie z.b. dein Mailserver auf verschiedene Logfiles auf, nur so behält man den Überblick.
 
Dienstspezifische Logs sind zum dienstspezifischen Debugging, während das syslog oder die messages zum dienstübergreifenden Debugging gedacht ist.

Über den Unterschied könnt Ihr Euch ja mal in Ruhe Gedanken machen, nicht dass Ihr einen Herzkasper bekommt, wenn Eure Linuxkenntnisse ins Wanken geraten.

Es hat schon seinen Grund, dass dies seit >40 Jahren so ist und auch künftig so bleibt...
 
Gut Knut. Soweit so unverständlich...

Also ist syslog "nur" ein Sammelbecken der diversen Logs oder werden hier auch Meldungen geloggt, die in keiner anderen Logdatei auftauchen?

Menno, warum hat noch keiner ein komplett deutsches Linux erfunden, (fast) alles ist englisch. :(

Naja, wie oben schon geschrieben, wieder was gelernt. Mühsam ernährt sich das Eichhörnchen...

Gruß

Ulf
 
Perry_Rhodan said:
oder werden hier auch Meldungen geloggt, die in keiner anderen Logdatei auftauchen?
Click to expand...
Das hängt ausschliesslich von Deiner individuellen Konfiguration ab. Dreh den Spiess um: Jeder Dienst, der (noch) keine eigenen Logs konfiguriert hat, loggt dadurch im syslog und dem Admin gehen so keine Logs verloren.

Perry_Rhodan said:
Menno, warum hat noch keiner ein komplett deutsches Linux erfunden, (fast) alles ist englisch. :(
Click to expand...
Es gibt kein einziges komplett deutsches Betriebssystem...
 
Gibt es denn eine Möglichkeit, in der weiter oben geposteten conf-Datei einzutragen, das alles was mit mail zu tun aht nicht in syslog gelogt werden soll?

Das *.* sagt ja nunmal, das er alles loggen soll, kann ich da mail ausklammern und wenn ja wie?

Grundsätzlich kann ich es ein wenig nachvollziehen, warum syslog ein Sammelbecken ist, aber die mail-Einträge machen es mir Anfänger nunmal extrem schwer, den Durchblick zu bewahren.

Gruß vom leicht verwirrten Ulf
 
Du kannst die entsprechenden Zeilen einfach nur bei Bedarf ausfiltern, anstatt sie ganz aus dem syslog zu werfen (ist aber auch möglich):
Code: 
grep -v ' server (qmail|pop3d|imapd)' /var/log/syslog > /tmp/syslog_without_mail.log
Lässt sich beliebig anpassen und das Logging bleibt konsistent.

Mit sed, grep und awk sollte man sich ohnehin mal näher beschäftien, das sind sehr mächtige Tools.
 
Joe User said:
Es hat schon seinen Grund, dass dies seit >40 Jahren so ist und auch künftig so bleibt...
Click to expand...

Ich habe in mehreren Jahren der Administration von Mailservern jedoch bemerken müssen dass es mehr Sinn macht auf verschiedene Logfiles zu loggen, sobald alles in syslog / messages landet habe ich bald keinen Überblick mehr.

Sicherlich, mit grep, awk und sed kann ich da schön filtern, nur ob das dann auch Zeit spart ist eine andere Frage.
 
Wer zwingt Dich denn statt ins maillog ins syslog zu schauen? Keiner!
Aber wenn Du zum Beispiel mal wissen willst, durch welche Sicherheitslücke der in Deinem maillog aufgetauchte Spam lokal versendet wurde, dann wirst Du ein all-in-one Logfile zu schätzen wissen. Dort kurz nach dem Timestamp +-30s gegreppt und der Übeltäter grinst Dich schon fast an. So schnell und komfortabel kannst Du mit dutzenden einzelnen Logfiles nicht arbeiten.
 
Das stimme ich dir zu, aber in Sachen Mailserver finde ich es für die alltägliche Administration angenehmer eine extra logfile zu haben, jeder hat halt seine Eigenheiten :-)
 
virtual2 said:
aber in Sachen Mailserver finde ich es für die alltägliche Administration angenehmer eine extra logfile zu haben
Click to expand...
Mir wäre jetzt keine Distribution bekannt, in der das nicht OOTB der Fall wäre, insofern verstehe ich Deine bisherige Argumentation nicht.
 
Nur mal so zur Info,

bei mir wird alles von Mail extra gelogt. Habe ich ja nie bestritten. Behaupte einmal, das ist von Haus aus so.

Dachte nur, das in syslog eben "nur" Sachen vom System gelogt werden.

Nun weiß ich, das syslog ein Sammelbecken ist.

Den Sinn glaube ich schon zu verstehen.

Gruß

Ulf
 
You must log in or register to reply here.
Back
Top