Log Dateien

[Luzipher]

Hallo,

Hab nen Root server von 1 blu , nur such ich vergeblich die Log Dateien für ssh acc. u.s.w. .

Im Log Ordner sind die nicht drin , kann mir wer sagen ob man das erst einstellen muß oder ob die wo anders liegen als in dem standartordner?

Sorry für die "dumme" frage , aber bin neu auf dem Gebiet.

MFG Lutz

 

[funky]

Wie es bei 1blu ist, weiß ich leider nicht, aber normalerweise werden
sie automatisch erstellt in /var/log/

Such einfach mal nach der syslog.

find / -name syslog

 

[garfield]

Falls es Suse ist , syslog-ng.

 

[tty0]

Falls es Suse ist , syslog-ng.

Was hat das den mit SuSE zu tun? [...] Es kommt immer drauf an, welchen Logdaemon man installiert. Es mag zwar richtig sein, dass SuSE syslog-ng von Haus aus dabei hat, aber es muss noch lange nicht heißen, dass dieser auch installiert ist und verwendet wird.

 

[Luzipher]

-

also , der syslog dienst ist gestartet gewesen

in /var/log/ sind paar logs drin , aber keine wo ich sehen kann wer sich in ssh eingeloggt hat von wo aus u.s.w. , das fehlt mir irgendwie.

MFG Luzi

 

[Huschi]

Du mußt in /etc/syslog.conf (oder evtl. leicht andere Namen) nachsehen, wohin auth.* geleitet wird.

huschi.

 

[Luzipher]

weiß nicht wirklich wonach ich suchen soll , hoffe mal das das die richtige datei ist.

#
# Most warning and errors on tty10 and on the xconsole pipe:
#
destination console  { file("/dev/tty10"    group(tty) perm(0620)); };
log { source(src); filter(f_console); destination(console); };

destination xconsole { pipe("/dev/xconsole" group(tty) perm(0400)); };
log { source(src); filter(f_console); destination(xconsole); };

# Enable this, if you want that root is informed immediately,
# e.g. of logins:
#
#destination root { usertty("root"); };
#log { source(src); filter(f_alert); destination(root); };


#
# News-messages in separate files:
#
destination newscrit { file("/var/log/news/news.crit"); };
log { source(src); filter(f_newscrit); destination(newscrit); };

destination newserr { file("/var/log/news/news.err"); };
log { source(src); filter(f_newserr); destination(newserr); };

destination newsnotice { file("/var/log/news/news.notice"); };
log { source(src); filter(f_newsnotice); destination(newserr); };

#
# and optionally also all in one file:
#
#destination news { file("/var/log/news.all"); };
#log { source(src); filter(f_news); destination(news); };


#
# Mail-messages in separate files:
#
destination mailinfo { file("/var/log/mail.info"); };
log { source(src); filter(f_mailinfo); destination(mailinfo); };

destination mailwarn { file("/var/log/mail.warn"); };
log { source(src); filter(f_mailwarn); destination(mailwarn); };

destination mailerr  { file("/var/log/mail.err" fsync(yes)); };
log { source(src); filter(f_mailerr);  destination(mailerr); };

#
# and also all in one file:
#
destination mail { file("/usr/local/psa/var/log/maillog"); };
log { source(src); filter(f_mail); destination(mail); };


#
# Cron-messages in one file:
#
#destination cron { file("/var/log/cron"); };
#log { source(src); filter(f_cron); destination(cron); };


#
# Some boot scripts use/require local[1-7]:
#
destination localmessages { file("/var/log/localmessages"); };
log { source(src); filter(f_local); destination(localmessages); };


#
# All messages except iptables and the facilities news and mail:
#
destination messages { file("/var/log/messages"); };
log { source(src); filter(f_messages); filter(f_mailwarn); filter(f_mailwarn); destination(messages); };


#
# Firewall (iptables) messages in one file:
#
destination firewall { file("/var/log/firewall"); };
log { source(src); filter(f_iptables); destination(firewall); };


#
# Warnings (except iptables) in one file:
#
destination warn { file("/var/log/warn" fsync(yes)); };
log { source(src); filter(f_warn); destination(warn); };

#
# Enable this, if you want to keep all messages in one file:
#
#destination allmessages { file("/var/log/allmessages"); };
#log { source(src); destination(allmessages); };

 

[Huschi]

Ist das wirklich die ganze Datei?
Da fehlen die ganzen Grunddefinitionen von src und die Filterregeln.
Vorallem fehlt eine Regel für f_cothers und f_authpriv.

PS: Eine Doku zu syslog-ng findest Du z.B. hier:
http://www.reintechnisch.de/Inhalt/computer/admin/syslog-ng.html

PPS: Du plenkst.
PPPS: Punkt 3 der Boardregeln.

huschi.

 

[Luzipher]

Log Files

Ich hoffe dass ich es mit den Punkt 3 in Zukunft richtig mache.

So, hab glaub ich die Datei gefunden, es müsste die messages im log Verzeichnis sein, das Problem ist aber das die Aufzeichnungen darin nur bis zum 9.1.06 gehen.

Was kann ich machen damit er weiter aufzeichnet?

Der dienst für die Aufzeichnung ist gestartet und arbeitet auch da er in andere log Dateien aufzeichnet.

Hab hier die .conf Datei noch mal eingefügt.

#
# /etc/syslog-ng/syslog-ng.conf
#
# Automatically generated by SuSEconfig on Mon Apr 24 14:37:09 CEST 2006.
#
# PLEASE DO NOT EDIT THIS FILE!
#
# you can modify /etc/syslog-ng/syslog-ng.conf.in instead
#
#
# File format description can be found in syslog-ng.conf(5)
# and /usr/share/doc/packages/syslog-ng/syslog-ng.txt.
#

options { long_hostnames(off); sync(0); perm(0640); stats(3600); };

#
# 'src' is our main source definition. you can add
# more sources driver definitions to it, or define
# your own sources, i.e.:
#
#source my_src { .... };
#
source src {
	#
	# include internal syslog-ng messages
	# note: the internal() soure is required!
	#
	internal();

	#
	# the following line will be replaced by the
	# socket list generated by SuSEconfig using
	# variables from /etc/sysconfig/syslog:
	#
	unix-dgram("/dev/log");
	unix-dgram("/var/lib/named/dev/log");
	unix-dgram("/var/lib/ntp/dev/log");

	#
	# uncomment to process log messages from network:
	#
	#udp(ip("0.0.0.0") port(514));
};


#
# Filter definitions
#
filter f_iptables   { facility(kern) and match("IN=") and match("OUT="); };

filter f_console    { level(warn) and facility(kern) and not filter(f_iptables)
                      or level(err) and not facility(authpriv); };

filter f_newsnotice { level(notice) and facility(news); };
filter f_newscrit   { level(crit)   and facility(news); };
filter f_newserr    { level(err)    and facility(news); };
filter f_news       { facility(news); };

filter f_mailinfo   { level(info)      and facility(mail); };
filter f_mailwarn   { level(warn)      and facility(mail); };
filter f_mailerr    { level(err, crit) and facility(mail); };
filter f_mail       { facility(mail); };

filter f_cron       { facility(cron); };

filter f_local      { facility(local0, local1, local2, local3,
                               local4, local5, local6, local7); };

filter f_messages   { not facility(news) and not filter(f_iptables); };
filter f_warn       { level(warn, err, crit) and not filter(f_iptables); };
filter f_alert      { level(alert); };


#
# Most warning and errors on tty10 and on the xconsole pipe:
#
destination console  { file("/dev/tty10"    group(tty) perm(0620)); };
log { source(src); filter(f_console); destination(console); };

destination xconsole { pipe("/dev/xconsole" group(tty) perm(0400)); };
log { source(src); filter(f_console); destination(xconsole); };

# Enable this, if you want that root is informed immediately,
# e.g. of logins:
#
#destination root { usertty("root"); };
#log { source(src); filter(f_alert); destination(root); };


#
# News-messages in separate files:
#
destination newscrit { file("/var/log/news/news.crit"); };
log { source(src); filter(f_newscrit); destination(newscrit); };

destination newserr { file("/var/log/news/news.err"); };
log { source(src); filter(f_newserr); destination(newserr); };

destination newsnotice { file("/var/log/news/news.notice"); };
log { source(src); filter(f_newsnotice); destination(newserr); };

#
# and optionally also all in one file:
#
#destination news { file("/var/log/news.all"); };
#log { source(src); filter(f_news); destination(news); };


#
# Mail-messages in separate files:
#
destination mailinfo { file("/var/log/mail.info"); };
log { source(src); filter(f_mailinfo); destination(mailinfo); };

destination mailwarn { file("/var/log/mail.warn"); };
log { source(src); filter(f_mailwarn); destination(mailwarn); };

destination mailerr  { file("/var/log/mail.err" fsync(yes)); };
log { source(src); filter(f_mailerr);  destination(mailerr); };

#
# and also all in one file:
#
destination mail { file("/usr/local/psa/var/log/maillog"); };
log { source(src); filter(f_mail); destination(mail); };


#
# Cron-messages in one file:
#
#destination cron { file("/var/log/cron"); };
#log { source(src); filter(f_cron); destination(cron); };


#
# Some boot scripts use/require local[1-7]:
#
destination localmessages { file("/var/log/localmessages"); };
log { source(src); filter(f_local); destination(localmessages); };


#
# All messages except iptables and the facilities news and mail:
#
destination messages { file("/var/log/messages"); };
log { source(src); filter(f_messages); filter(f_mailwarn); filter(f_mailwarn); destination(messages); };


#
# Firewall (iptables) messages in one file:
#
destination firewall { file("/var/log/firewall"); };
log { source(src); filter(f_iptables); destination(firewall); };


#
# Warnings (except iptables) in one file:
#
destination warn { file("/var/log/warn" fsync(yes)); };
log { source(src); filter(f_warn); destination(warn); };

#
# Enable this, if you want to keep all messages in one file:
#
#destination allmessages { file("/var/log/allmessages"); };
#log { source(src); destination(allmessages); };

Und jetzt noch die 2 letzten Einträge der log Datei.

Jan  9 19:29:31 linux usermod[10601]: home directory changed - account=alias, uid=2021, home=/var/qmail/alias, old home=/qmail/alias, by=0
Jan  9 19:29:32 linux syslog-ng[5741]: SIGHUP received, restarting syslog-ng

 

[Huschi]

SIGHUP received, restarting syslog-ng

Da war ein Restart vom syslog. Der ist wahrscheinlich in die Hose gegangen.
Prüfen mit 'ps aux|grep syslog'.
Neustart mit '/etc/init.d/syslog-ng start'.

huschi.

 

[Luzipher]

Log Datei

Hallo,
wenn ich ps aux|grep syslog eingebe kommt folgendes.

root      4764  0.0  0.0   9128   968 ?        Ss   23:11   0:00 /sbin/syslog-ng
root      6402  0.0  0.0   2912   684 pts/0    R+   23:14   0:00 grep syslog

nach den Neustart mit /etc/init.d/syslog-ng start kommt das

root      4764  0.0  0.0   9128   968 ?        Ss   23:11   0:00 /sbin/syslog-ng
root      6439  0.0  0.0   6152   792 ?        Ss   23:16   0:00 syslog-ng start
root      6441  0.0  0.0   2912   684 pts/0    R+   23:16   0:00 grep syslog

aber es wird immer noch nix aufgezeichnet.

Da stellt sich mir die frage ob die Datei messages überhaupt die richtige ist in meinen fall.

MFG

 

[Huschi]

Neulich hatten wir ebenfalls einen ähnlichen Fall. Da konnte ich auch nicht helfen. Das interessante dabei: Auch dort war der syslog-ng am laufen.
Ich habe langsam den Verdacht, daß der nicht ganz astrein ist...

huschi.

 

[Luzipher]

Gibz es eine alternative außer das syslog-ng?

ganz ohne Logfiles ist es nicht wirklich gut.

 

[Huschi]

Gibz es eine alternative außer das syslog-ng?

Ja, der gute alte syslogd.

huschi.

 

[Luzipher]

Hab’s hinbekommen, mit viel rumprobieren und gedult

hab in die Datei /etc/syslog-ng/syslog-ng.conf bei dem Eintrag allmessages das # weggemacht

#
# Enable this, if you want to keep all messages in one file:
#
destination allmessages { file("/var/log/allmessages"); };
log { source(src); destination(allmessages); };

und dann ganz unten noch folgenden Code eingefügt

#
# ssh
#
destination ssh { file("/var/log/ssh"); };
log { source(src); filter(f_messages) ; destination(ssh); };

nun schreibt er das Zeug richtig in die Datei ssh im log Verzeichnis, evtl. vorher die Datei anlegen.

vielleicht hilft das jemand anderes weiter der auch das prob hat.

MFG Luzipher

 

[Huschi]

Denk aber daran die Dateien /var/log/allmessages und /var/log/ssh mit ins Logrotate aufzunehmen.
Sonst läuft Deine Platte über und nix geht mehr.

huschi.

 

[garfield]

Ja Luzipher hat das selbe Problem wie ich.
Bei mir endet die Aufzeichnung in messages am 22.04 mit gleicher Fehlermeldung.Habe auch allmessages aktiviert, jetzt schreibt er eben alles da rein.
messages tut nichts mehr.
Na ja was solls, egal.

 

[Huschi]

Ich bin gerade zufällig bei einem Kundenserver über das selbe Problem gestossen.

Lösung:
Bei einem Plesk-Update der 7.5er Version wurde folgender Eintrag in der syslog-ng.conf geändert:

[COLOR="Red"]neu:[/COLOR] log { source(src); filter(f_messages); filter(f_mailwarn); destination(messages); };
[COLOR="Blue"]alt:[/COLOR] log { source(src); filter(f_messages); destination(messages); };

Wenn man den alten Eintrag wieder herstellt (also "filter(f_mailwarn);" wieder löscht) und syslog neu startet, so wird die messages auch wieder beschrieben.

huschi.

 

[MrMasterJPsy]

Wie bist du drauf gekommen ?



Thx & Cya JPsy

 

[Huschi]

Wie bist du drauf gekommen ?

In dem ich die Augen aufgemacht habe.
Beim Plesk-Update wurde ein Backup angelegt: /etc/syslog-ng/syslog-ng.conf.bak

PS: Ließ Dir mal bitte folgendes durch: Plenken.

huschi.