Von syslogd auf rsyslog umsteigen -- was ist zu tun?

[wespe]

Hallo zusammen,

Vorgeschichte:

Courier-IMAP, fail2ban und die syslog-Kompression

Hallo zusammen, ich bin gerade dabei, bei einem noch-nicht-produktiv-vServer (CentOS 5.7 "angerichtet" von Plesk 10.4.4) die grundlegenden Einrichtungsschritte auszuprobieren (also Sachen á la root-Login, Updates, etc), und möchte dabei auch die Kommunikation mit POP3/IMAP und SMTP (+ jew...

serversupportforum.de

Kurzfassung: Ich bin als Konsequenz daraus, dass mein syslogd Meldungen á la "Last message repeated x times" produzierte, und mein fail2ban das nicht auswerten konnte, auf rsyslog umgestiegen:

rsyslog habe ich installiert (einfach mit yum), die Konfigurationsdatei /etc/rsyslog.conf hat auch automatisch alle Einstellungen erhalten, die in der /etc/syslog.conf übernommen, und wenn ich den syslogd stoppe und den rsyslogd starte, sind auch keine "last message repeated" mehr da. Schön soweit.

Frage: Ist da jetzt noch mehr zu tun? Eigentlich kommt es mir so schon fast viel zu einfach vor. Normalerweise hakt es doch dann an zig Stellen, auf die man achtgeben muss, vor allem, wenn Plesk mitspielt.

Meine Konfiguration: CentOS 5.7, Plesk 10.4.4


Viele Grüße,
Wespe


Edit: Natürlich ganz vergessen. Wenn ich den syslog stoppe, dann kommen die folgenden Meldungen:

Shutting down kernel logger:                               [PASSED]
Shutting down system logger:                               [  OK  ]

Kann ich daraus schließen, dass der Kernel-Logger auch in Zukunft syslogd sein wird? Das verwirrt mich ein wenig.

 

[Sven_R]

die "Last message repeated x times" kannst aber abschalten!!!!

ich glaub das war in der config "-d" oder so, bin mir aber nicht mehr sicher
weill ich das schon lang nicht mehr einsetze.

aber gut, also normal brauchst du nichts ändern. es sei den du hattest
für ein bestimmtes programm eine bestimme loggin einstellung.

und eigentlich sollte rsyslog alles auf deinem system erfassen was ksyslog
vorher auch gemacht hat.

jedenfalls ist das unter debian so bei centos denke ich aber sollte
das genauso sein.

schliesslich ist rsyslog ja ein vollwertiger ersatz für ksyslog


Sven

 

[Sven_R]

haha hab doch noch was gefunden.

mit "-m 0" kannst du das abschalten.

hättest nur auf der console "man 8 syslod" eintippen müssen!!!!

Sven

 

[wespe]

Danke für die Antwort

die "Last message repeated x times" kannst aber abschalten!!!!

haha hab doch noch was gefunden.
mit "-m 0" kannst du das abschalten.
hättest nur auf der console "man 8 syslod" eintippen müssen!!!!

Hm, also das scheint nicht zu stimmen, denn das ist das, was man 8 syslogd dazu (hatte ich vorher schon angeschaut ) sagt:

-m interval
The  syslogd logs a mark timestamp regularly. 
The default interval between two -- MARK -- lines is 20 minutes. 
This can be changed with this option. Setting the interval to zero turns it off entirely.

Das ist doch was ganz anderes!? Außerdem war das eh schon so eingestellt in der /etc/sysconfig/syslog.


Und wie ist das mit dem Kernel logging und dem System logging? Ist syslogd für den Kernel praktisch "fest verdrahtet"?

 

[wespe]

Doch noch gefunden, was ich im Kopf hatte.

Hier sagt einer, dass man diese Kompression aus einigen syslogd-Implementierungen nicht abschalten kann.

 

[Sven_R]

der logger ist nicht festverdrahtet, das sind alles pipes oder sockets
auf die dann entsprechend zugegriffen wird.
das logging system ist halt nur standartisiert, sprich jeder
vernünftige logger kann das auswerten.

egal ob vom kernel, mailsystem, usersystem, usw

du must halt nur einstellen so es hin soll.

im standart wird alles vom kernel kommt nach /var/log/kern.log geschrieben.
bzw auch auf die konsole wiedergegeben wenn es ein kernel oops ist.

du brauchst ja nur in die /etc/rsyslog.conf reinschauen.

wenn du was spezielles benötigst kannst du das umstellen.

Sven

 

[wespe]

Okay, vielen Dank!