Score:0

rsyslog กำลังทำงาน แต่ไม่มีเอาต์พุตใดออกมา

ธง de

ยินดีที่ได้รู้จัก.

ทันใดนั้นไม่มีอะไรส่งออกใน /var/log/messages, cron, secure, etc... ฉันยังไม่ได้รีสตาร์ท rsyslog หรือแก้ไข /etc/rsyslog.conf ดังนั้นฉันจึงไม่รู้ว่าทำไม แม้ว่าหลังจากรีบูตเครื่องแล้วเอาต์พุตก็ยังไม่ส่งออก นอกจากนี้ยังมีเซิร์ฟเวอร์ที่ส่งออกตามปกติ

หากคุณดูที่ /proc/*/fd อันที่แสดงผลถูกต้องคือ

l-wx------ 1 รูทรูท 64 เม.ย. 59 2564 8 -> /var/log/secure
l-wx------ 1 รูทรูท 64 เม.ย. 59 2564 7 -> /var/log/maillog
l-wx------ 1 รูทรูท 64 เม.ย. 59 2564 6 -> /var/log/cron
lrwx------ 1 รูทรูท 64 เม.ย. 59 2564 5 -> ซ็อกเก็ต:[8296]
lrwx------ 1 รูทรูท 64 เม.ย. 59 2564 4 -> ซ็อกเก็ต:[8295]
lr-x------ 1 รูทรูท 64 เม.ย. 59 2564 3 -> /proc/kmsg
l-wx------ 1 รูทรูท 64 เม.ย. 59 2564 2 -> /var/log/messages
lrwx------ 1 รูท รูท 64 เม.ย. 59 2564 1 -> [eventpoll]
lrwx------ 1 รูทรูท 64 เม.ย. 59 2564 0 -> ซ็อกเก็ต:[8297]

อันที่ไม่พุทคือ

lr-x------ 1 รูทรูท 64 2 พฤษภาคม 05:24 3 -> /proc/kmsg
lrwx------ 1 รูทรูท 64 2 พฤษภาคม 05:24 1 -> ซ็อกเก็ต:[122587394]
lrwx------ 1 รูทรูท 64 2 พฤษภาคม 05:24 0 -> ซ็อกเก็ต:[122587391]

rsyslog.conf เหมือนกันสำหรับทั้งสองเซิร์ฟเวอร์

# ไฟล์คอนฟิกูเรชัน rsyslog v5

# สำหรับข้อมูลเพิ่มเติม โปรดดูที่ /usr/share/doc/rsyslog-*/rsyslog_conf.html
# หากคุณประสบปัญหา โปรดดูที่ http://www.rsyslog.com/doc/troubleshoot.html

#### โมดูล ####

$ModLoad imuxsock # ให้การสนับสนุนการบันทึกระบบโลคัล (เช่น ผ่านคำสั่ง logger)
$ModLoad imklog # ให้การสนับสนุนการบันทึกเคอร์เนล (ก่อนหน้านี้ทำโดย rklogd)
#$ModLoad immark # ให้ --MARK-- ความสามารถในการส่งข้อความ

# จัดเตรียมการรับ syslog ของ UDP
#$ModLoad โคลน
#$UDPServerRun 514

# จัดเตรียมการรับ TCP syslog
#$ModLoad อิมทีซีพี
#$InputTCPServerRun 514


#### คำสั่งสากล ####

# ใช้รูปแบบการประทับเวลาเริ่มต้น
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# ความสามารถในการซิงค์ไฟล์ถูกปิดใช้งานตามค่าเริ่มต้น คุณลักษณะนี้มักไม่จำเป็น
#ไม่มีประโยชน์และตีประสิทธิภาพสุดขีด
#$ActionFileEnableSync เปิดอยู่

# รวมไฟล์ปรับแต่งทั้งหมดใน /etc/rsyslog.d/
$IncludConfig /etc/rsyslog.d/*.conf


#### กฎ ####

# บันทึกข้อความเคอร์เนลทั้งหมดไปยังคอนโซล
# การบันทึกอื่น ๆ อีกมากมายทำให้หน้าจอยุ่งเหยิง
#kern.* /dev/console

# เข้าสู่ระบบอะไรก็ได้ (ยกเว้นเมล) ของข้อมูลระดับหรือสูงกว่า
# อย่าบันทึกข้อความตรวจสอบส่วนตัว!
*.info;mail.none;authpriv.none;cron.none /var/log/messages

# ไฟล์ authpriv มีการจำกัดการเข้าถึง
authpriv.* /var/log/secure

# บันทึกข้อความอีเมลทั้งหมดในที่เดียว
mail.* -/var/log/maillog


# บันทึกสิ่ง cron
cron.* /var/log/cron

# ทุกคนได้รับข้อความฉุกเฉิน
*.โผล่*

# บันทึกข้อผิดพลาดของข่าวในระดับ Crit และสูงกว่าในไฟล์พิเศษ
uucp,news.crit /var/log/spooler

# บันทึกข้อความบูตไปยัง boot.log
local7.* /var/log/boot.log


# ### เริ่มกฎการส่งต่อ ###
# คำสั่งระหว่างจุดเริ่มต้น ... สิ้นสุดกำหนดการส่งต่อเดียว
# กฎ. พวกเขาอยู่ด้วยกันอย่าแยกพวกเขา หากคุณสร้างหลาย
#กติกาการส่งต่อ ซ้ำทั้งบล็อค!
# การบันทึกระยะไกล (เราใช้ TCP สำหรับการจัดส่งที่เชื่อถือได้)
#
# คิวบนดิสก์ถูกสร้างขึ้นสำหรับการดำเนินการนี้ หากรีโมตโฮสต์คือ
# ลง ข้อความจะถูกสพูลไปยังดิสก์ และส่งเมื่อกลับมาทำงานอีกครั้ง
#$WorkDirectory /var/lib/rsyslog # ตำแหน่งที่จะวางสปูลไฟล์
#$ActionQueueFileName fwdRule1 # คำนำหน้าชื่อเฉพาะสำหรับไฟล์สปูล
#$ActionQueueMaxDiskSpace 1g # พื้นที่จำกัด 1gb (ใช้ให้มากที่สุด)
#$ActionQueueSaveOnShutdown บน # บันทึกข้อความลงดิสก์เมื่อปิดเครื่อง
#$ActionQueueType LinkedList # ทำงานแบบอะซิงโครนัส
#$ActionResumeRetryCount -1 # ลองใหม่ไม่สิ้นสุดหากโฮสต์ไม่ทำงาน
# รีโมตโฮสต์คือ: name/ip:port เช่น 192.168.0.1:514 พอร์ตเสริม
#*.* @@รีโมตโฮสต์:514

เราไม่ชัดเจนว่าเหตุใดเอาต์พุตจึงหยุดกะทันหัน

ระบบปฏิบัติการ: CentOS6 rsyslog: 5.8.10

Peter Zhabin avatar
cn flag
การกำหนดค่า rsyslog จริงทั้งหมดของคุณอยู่ในไฟล์ /etc/rsyslog.d/*.conf ดูที่นั่นและมองหาคำสั่ง `& stop` โดยเฉพาะ สิ่งใดก็ตามที่อยู่ด้านล่างคำสั่งนี้ (หรือรวมไว้หลังไฟล์ที่มีคำสั่งนี้) จะไม่สามารถเข้าถึงได้ มีแนวโน้มว่าการอัปเดตบางอย่างจะแนะนำการเปลี่ยนแปลงนี้สำหรับไฟล์กำหนดค่าบางอย่างในนั้น และตอนนี้การกำหนดค่าหลักของคุณไม่สามารถเข้าถึงได้อีกต่อไป
de flag
ขอขอบคุณ. อย่างไรก็ตาม ฉันตรวจสอบภายใต้ /etc/rsyslog.d/ แล้ว ไม่พบไฟล์ที่เพิ่งแก้ไข
eDonkey avatar
sl flag
สิ่งที่พบได้บ่อยที่สุดหากจู่ๆ "หยุดทำงาน" คือ **ไม่มีพื้นที่ว่างในดิสก์** เหลืออยู่ แต่ก็อาจเป็นปัญหา **ความเป็นเจ้าของ** ได้เช่นกันRsyslog เริ่มทำงานเป็น **รูท** แต่หลังจากนั้นระยะหนึ่งมันจะลดสิทธิ์และทำงานเป็น **syslog** ซึ่งอาจไม่มีสิทธิ์ที่จำเป็น (ดู: [คำตอบนี้](https://serverfault.com/a /527088/961526)).
de flag
ปัญหานี้ได้รับการแก้ไขแล้ว เหตุผลคือมีการตั้งค่าในไฟล์ภายใต้ /etc/rsyslog.d เพื่อส่งต่อไปยังเซิร์ฟเวอร์อื่น แต่ เหตุผลที่ดูเหมือนว่ามีการตั้งค่าในไฟล์ /etc/rsyslog.d เพื่อส่งต่อบันทึกไปยังเซิร์ฟเวอร์อื่น แต่ไม่ทราบปลายทางเนื่องจากเซิร์ฟเวอร์เป้าหมายหยุดทำงาน โดยการลบไฟล์คอนฟิกูเรชันนี้และรีสตาร์ทเซิร์ฟเวอร์ บันทึกจะถูกส่งออก

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา