Rsyslog não criando arquivos de log

9

Estou reforçando uma VM do Ubuntu 14.04 para os padrões CIS e estou tendo problemas para obter o rsyslog para criar os arquivos necessários.

Nota: Estou melhorando com o Linux, mas ainda não sou mestre, desculpe qualquer ignorância.

Inseri um arquivo /etc/rsyslog.d/CIS.conf com o seguinte conteúdo:

*.emerg :omusrmsg:*
mail.* -/var/log/mail
mail.info -/var/log/mail.info
mail.warning -/var/log/mail.warn
mail.err /var/log/mail.err
news.crit -/var/log/news/news.crit
news.err -/var/log/news/news.err
news.notice -/var/log/news/news.notice
*.=warning;*.=err -/var/log/warn
*.crit /var/log/warn
*.*;mail.none;news.none -/var/log/messages
local0,local1.* -/var/log/localmessages
local2,local3.* -/var/log/localmessages
local4,local5.* -/var/log/localmessages
local6,local7.* -/var/log/localmessages

Eu também modifiquei o /etc/rysyslog.conf. O conteúdo é assim:

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support

$KLogPermitNonKernelFacility on

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

$RepeatedMsgReduction on

$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

$WorkDirectory /var/spool/rsyslog

$IncludeConfig /etc/rsyslog.d/*.conf

o conteúdo repetido de / var / log / syslog é:

Apr  6 10:03:10 ubuntu rsyslogd-2039: Could no open output pipe '/dev/xconsole': No such file or directory [try http://www.rsyslog.com/e/2039 ]
Apr  6 10:15:17 ubuntu rsyslogd: [origin software="rsyslogd" swVersion="7.4.4" x-pid="3074" x-info="http://www.rsyslog.com"] exiting on signal 15.
Apr  6 10:15:17 ubuntu rsyslogd: [origin software="rsyslogd" swVersion="7.4.4" x-pid="3152" x-info="http://www.rsyslog.com"] start
Apr  6 10:15:17 ubuntu rsyslogd: rsyslogd's groupid changed to 104
Apr  6 10:15:17 ubuntu rsyslogd: rsyslogd's userid changed to 101

Tentei comentar a linha xconsole em /etc/rsyslog.d/50-default.conf e depois reiniciar o rsyslog. Depois de fazer isso, agora não vejo nenhum erro do xconsole aparecendo.

O que mais posso fazer para tentar identificar por que o rsyslog não está criando esses arquivos?

Obrigado!

ubuntu rsyslog JaReg
fonte
não tenho certeza sobre o rsyslog, mas o syslog clássico costumava se recusar a criar o arquivo inicial; você precisaria touchprimeiro. O rsyslog pode estar fazendo a mesma coisa e / ou pode ter um sinalizador / opção de comportamento que permita criar o arquivo.
Jeff Schaller
talvez este seja um "rsyslogd" diferente, mas o linux.die.net/man/5/rsyslog.conf diz que o caminho do arquivo deve começar com um "/" - o seu tem um hífen na frente. A remoção do hibrido ajuda?
Jeff Schaller
rsyslog.com/doc/v8-stable/compatibility/… diz mais sobre isso. Não sei exatamente o que exatamente "se o rsyslogd encontra as linhas do seletor de sincronização, ele as ignora por padrão" significa - se ele ignora o hífen ou ignora toda a linha do seletor.
Jeff Schaller
I testados remover o - e não parece trabalho
JaReg

Respostas:

8

Crie /dev/xconsolee defina sua propriedade e permissões corretas:

sudo touch /dev/xconsole
sudo chgrp syslog /dev/xconsole
sudo chmod 664 /dev/xconsole

Reinicie o rsyslogserviço da seguinte maneira:

Ubuntu 14.04

sudo service rsyslog restart

Ubuntu 16.04 e posterior, usando systemd

sudo systemctl restart rsyslog

Verifique se a mensagem de erro não aparece mais:

tail -n100 /var/log/syslog | grep rsyslog
Venzen
fonte
0

Pode ser que seja um problema de permissão para a pasta / dev / xconsole. Tente usar chmodpara alterar a permissão e reiniciá-la. Pode funcionar.

starStruck
fonte