поломался forward to syslog

cucullus	# 6 лет, 6 месяцев назад
Темы: 256 Сообщения: 3435 Участник с: 06 июня 2007	Что-то на одной из машин поломался форвард логов на syslog. Работает только syslog.log и everything.log (в котором только содержимое syslog.log). Никакие настройки не трогал. Единственно, диск бекапился, переразбивался (добавился один раздел) и восстанавливался. Соседние машины с такими же настройками логгируют как положено... Есть ли у кого какие идеи? Никаких проявлений ошибок не видать... такие дела.

# 6 лет, 6 месяцев назад

Сообщения: 3435

Участник с: 06 июня 2007

Что-то на одной из машин поломался форвард логов на syslog. Работает только syslog.log и everything.log (в котором только содержимое syslog.log). Никакие настройки не трогал.
Единственно, диск бекапился, переразбивался (добавился один раздел) и восстанавливался.
Соседние машины с такими же настройками логгируют как положено... Есть ли у кого какие идеи? Никаких проявлений ошибок не видать...

такие дела.

Natrio	# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	`$ grep -i syslog /etc/systemd/journal* /etc/systemd/journald.conf:ForwardToSyslog=yes ...` По-умолчанию эта опция выключена. По крайней мере, теперь. Кроме того, может быть устаревший /etc/syslog-ng/syslog-ng.conf , можно попробовать заменить дефолтным из пакета.

cucullus	# 6 лет, 6 месяцев назад
Темы: 256 Сообщения: 3435 Участник с: 06 июня 2007	Должно быть выключено, как раз. Если journal на диск пишет. Я, впрочем, пробовал и так и сяк. такие дела.

Natrio	# 6 лет, 6 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Если выключено, форвардиться в syslog не будет. (Запись на диск журнала самого journald тут ни при чём.) Если включено, а syslog запущен, но ничего не получает, надо смотреть syslog-ng.conf и scl.conf

cucullus	# 6 лет, 6 месяцев назад
Темы: 256 Сообщения: 3435 Участник с: 06 июня 2007	При всём уважении ;) И вики (см. ссылку) и практика использования говорят, что должно быть, как я написал. (Я, впрочем, проверял и так и сяк. не работает) Настройки сислога не трогались. Права на /var/log и внутри такие же как и на рабочей системе. Такое впечатление, что journal не даёт данные сислогу. Хотя сам всё пишет... такие дела.

cucullus

# 6 лет, 6 месяцев назад

Темы: 256

Сообщения: 3435

Участник с: 06 июня 2007

При всём уважении ;) И вики (см. ссылку) и практика использования говорят, что должно быть, как я написал. (Я, впрочем, проверял и так и сяк. не работает)
Настройки сислога не трогались. Права на /var/log и внутри такие же как и на рабочей системе.
Такое впечатление, что journal не даёт данные сислогу. Хотя сам всё пишет...

такие дела.

Natrio	# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Опция ForwardToSyslog заставляет journald преедавать данные в syslog, если тот НЕ настроен на самостоятельное их получение от systemd. По-умолчанию в Арч syslog-ng уже настроен на самостоятельное получение данных от journald, потому работает "так и так". По ссылке говорится не об этом, а о способе избежать двойного сохранения логов – и средствами journald, и средствами syslog. Для этого предлагается выключать сохранение логов в journald, если они уже сохраняются syslog, или наоборот. Но это делать не обязательно – никто не запрещает вам сохранять оба вида логов или не сохранять ни одного. Поскольку никакого способа помешать syslog получать данные от journald, кроме манипуляций с кем-то из них, я не вижу, предлагаю сосредоточить поиски на них, а особенно на их настройках. P.S. Проверка показала, что syslog-ng с настройками по-умолчанию следит за обновлением файлов журнала systemd-journal. Соответственно, если в journald.conf отключить вообще (Storage=none) ведение журнала, то независимо от строки ForwardToSyslog (под которую syslog надо ещё настроить), syslog-ng с настройками по-умолчанию (то есть для systemd) перестаёт получать данные от него, потому что продолжает следить на необновляемыми файлами журнала systemd.

Natrio

# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Опция ForwardToSyslog заставляет journald преедавать данные в syslog, если тот НЕ настроен на самостоятельное их получение от systemd.
По-умолчанию в Арч syslog-ng уже настроен на самостоятельное получение данных от journald, потому работает "так и так".

По ссылке говорится не об этом, а о способе избежать двойного сохранения логов – и средствами journald, и средствами syslog. Для этого предлагается выключать сохранение логов в journald, если они уже сохраняются syslog, или наоборот. Но это делать не обязательно – никто не запрещает вам сохранять оба вида логов или не сохранять ни одного.

Поскольку никакого способа помешать syslog получать данные от journald, кроме манипуляций с кем-то из них, я не вижу, предлагаю сосредоточить поиски на них, а особенно на их настройках.

P.S.
Проверка показала, что syslog-ng с настройками по-умолчанию следит за обновлением файлов журнала systemd-journal.
Соответственно, если в journald.conf отключить вообще (Storage=none) ведение журнала, то независимо от строки ForwardToSyslog (под которую syslog надо ещё настроить), syslog-ng с настройками по-умолчанию (то есть для systemd) перестаёт получать данные от него, потому что продолжает следить на необновляемыми файлами журнала systemd.

cucullus	# 6 лет, 6 месяцев назад
Темы: 256 Сообщения: 3435 Участник с: 06 июня 2007	Natrio Опция ForwardToSyslog заставляет journald преедавать данные в syslog, если тот НЕ настроен на самостоятельное их получение от systemd. По-умолчанию в Арч syslog-ng уже настроен на самостоятельное получение данных от journald, потому работает "так и так". Правильно. Natrio По ссылке говорится не об этом, а о способе избежать двойного сохранения логов – и средствами journald, и средствами syslog. Для этого предлагается выключать сохранение логов в journald, если они уже сохраняются syslog, или наоборот. Но это делать не обязательно – никто не запрещает вам сохранять оба вида логов или не сохранять ни одного. Ну можно и так сказать, хотя скорее говорится как сохранять и туда и туда. Что мне и требуется. Natrio Поскольку никакого способа помешать syslog получать данные от journald, кроме манипуляций с кем-то из них, я не вижу, предлагаю сосредоточить поиски на них, а особенно на их настройках. P.S. Проверка показала, что syslog-ng с настройками по-умолчанию следит за обновлением файлов журнала systemd-journal. Соответственно, если в journald.conf отключить вообще (Storage=none) ведение журнала, то независимо от строки ForwardToSyslog (под которую syslog надо ещё настроить), syslog-ng с настройками по-умолчанию (то есть для systemd) перестаёт получать данные от него, потому что продолжает следить на необновляемыми файлами журнала systemd. Настройки не трогались, права в порядке. Файлы journal живые и обновляются. Единственное, что вот: `-rw-r----- 1 root systemd-journal 2621440 Mar 2 2016 system@00052d12b5b5c9c7-be7a9643cbd58ba9.journal~ -rw-r-----+ 1 root systemd-journal 2621440 Feb 5 18:00 system@84bffc160c424bf28edd1c7ec02242ed-000000000001afcb-00052b067c5f0812.journal` Изменился хеш. Последний раз форвард работал как раз 2 февраля (да, там март;), но мне кажется, что я там ошибся с месяцем в биосе, а ntp потом поправил) такие дела.

cucullus

# 6 лет, 6 месяцев назад

Темы: 256

Сообщения: 3435

Участник с: 06 июня 2007

Natrio
Опция ForwardToSyslog заставляет journald преедавать данные в syslog, если тот НЕ настроен на самостоятельное их получение от systemd.
По-умолчанию в Арч syslog-ng уже настроен на самостоятельное получение данных от journald, потому работает "так и так".

Правильно.

Natrio
По ссылке говорится не об этом, а о способе избежать двойного сохранения логов – и средствами journald, и средствами syslog. Для этого предлагается выключать сохранение логов в journald, если они уже сохраняются syslog, или наоборот. Но это делать не обязательно – никто не запрещает вам сохранять оба вида логов или не сохранять ни одного.

Ну можно и так сказать, хотя скорее говорится как сохранять и туда и туда. Что мне и требуется.

Natrio
Поскольку никакого способа помешать syslog получать данные от journald, кроме манипуляций с кем-то из них, я не вижу, предлагаю сосредоточить поиски на них, а особенно на их настройках.

P.S.
Проверка показала, что syslog-ng с настройками по-умолчанию следит за обновлением файлов журнала systemd-journal.
Соответственно, если в journald.conf отключить вообще (Storage=none) ведение журнала, то независимо от строки ForwardToSyslog (под которую syslog надо ещё настроить), syslog-ng с настройками по-умолчанию (то есть для systemd) перестаёт получать данные от него, потому что продолжает следить на необновляемыми файлами журнала systemd.

Настройки не трогались, права в порядке. Файлы journal живые и обновляются.
Единственное, что вот:


-rw-r-----  1 root systemd-journal 2621440 Mar  2  2016 system@00052d12b5b5c9c7-be7a9643cbd58ba9.journal~
-rw-r-----+ 1 root systemd-journal 2621440 Feb  5 18:00 system@84bffc160c424bf28edd1c7ec02242ed-000000000001afcb-00052b067c5f0812.journal

Изменился хеш. Последний раз форвард работал как раз 2 февраля (да, там март;), но мне кажется, что я там ошибся с месяцем в биосе, а ntp потом поправил)

такие дела.

Natrio	# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Вот так это выглядит у меня (сверху journald ведёт журналы на диске, ниже syslog-ng их слушает): # ls -l /proc/`pidof systemd-journald`/fd/ \| grep journal lrwx------ 1 root root 64 фев 14 09:55 16 -> /var/log/journal/b17324dfd12aff87b29d9f20000006d2/system.journal lrwx------ 1 root root 64 фев 14 09:55 28 -> /var/log/journal/b17324dfd12aff87b29d9f20000006d2/user-1000.journal # ls -l /proc/`pidof syslog-ng`/fd/ \| grep journal lr-x------ 1 root root 64 фев 14 09:55 13 -> /var/log/journal/b17324dfd12aff87b29d9f20000006d2/system.journal lr-x------ 1 root root 64 фев 14 09:55 14 -> /var/log/journal/b17324dfd12aff87b29d9f20000006d2/user-1000.journal Сами файлы журналов: `$ ls -l /var/log/journal/b17324dfd12aff87b29d9f20000006d2/ итого 12808 -rw-r----- 1 root root 6553600 фев 14 18:35 system.journal -rw-r-x---+ 1 root systemd-journal 6553600 фев 14 18:37 user-1000.journal` Время изменения близко к текущему, потому что журнал постоянно обновляется.

Natrio

# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Вот так это выглядит у меня (сверху journald ведёт журналы на диске, ниже syslog-ng их слушает):

# ls -l /proc/`pidof systemd-journald`/fd/ | grep journal
lrwx------ 1 root root 64 фев 14 09:55 16 -> /var/log/journal/b17324dfd12aff87b29d9f20000006d2/system.journal
lrwx------ 1 root root 64 фев 14 09:55 28 -> /var/log/journal/b17324dfd12aff87b29d9f20000006d2/user-1000.journal
# ls -l /proc/`pidof syslog-ng`/fd/ | grep journal
lr-x------ 1 root root 64 фев 14 09:55 13 -> /var/log/journal/b17324dfd12aff87b29d9f20000006d2/system.journal
lr-x------ 1 root root 64 фев 14 09:55 14 -> /var/log/journal/b17324dfd12aff87b29d9f20000006d2/user-1000.journal

Сами файлы журналов:

$ ls -l /var/log/journal/b17324dfd12aff87b29d9f20000006d2/
итого 12808
-rw-r-----  1 root root            6553600 фев 14 18:35 system.journal
-rw-r-x---+ 1 root systemd-journal 6553600 фев 14 18:37 user-1000.journal

Время изменения близко к текущему, потому что журнал постоянно обновляется.

cucullus	# 6 лет, 6 месяцев назад
Темы: 256 Сообщения: 3435 Участник с: 06 июня 2007	ls -l /proc/`pidof systemd-journald`/fd/ \| grep journal lrwx------ 1 root root 64 Feb 14 12:24 53 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system.journal lrwx------ 1 root root 64 Feb 14 12:24 54 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1000.journal ls -l /proc/`pidof syslog-ng`/fd/ \| grep journal lr-x------ 1 root root 64 Feb 14 19:13 12 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@84bffc160c424bf28edd1c7ec02242ed-000000000001caa1-00052b570d4ac59d.journal lr-x------ 1 root root 64 Feb 14 19:13 14 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1000@b73f83dea0eb41dd87c852ca6c0294ad-000000000001c308-00052b45c4690abd.journal lr-x------ 1 root root 64 Feb 14 19:13 16 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-620.journal lr-x------ 1 root root 64 Feb 14 19:13 17 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1001.journal lr-x------ 1 root root 64 Feb 14 19:13 18 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@84bffc160c424bf28edd1c7ec02242ed-000000000001b910-00052b071e1c5a19.journal lr-x------ 1 root root 64 Feb 14 19:13 20 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1000@b73f83dea0eb41dd87c852ca6c0294ad-000000000001afed-00052b06a8adc979.journal lr-x------ 1 root root 64 Feb 14 19:13 21 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@00052d12b5b5c9c7-be7a9643cbd58ba9.journal~ lr-x------ 1 root root 64 Feb 14 19:13 22 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@84bffc160c424bf28edd1c7ec02242ed-000000000001afcb-00052b067c5f0812.journal lr-x------ 1 root root 64 Feb 14 19:13 23 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@84bffc160c424bf28edd1c7ec02242ed-000000000001c254-00052b45292c5cc9.journal lr-x------ 1 root root 64 Feb 14 19:13 25 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system.journal lr-x------ 1 root root 64 Feb 14 19:13 26 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1000.journal такие дела.

cucullus

# 6 лет, 6 месяцев назад

Темы: 256

Сообщения: 3435

Участник с: 06 июня 2007

ls -l /proc/`pidof systemd-journald`/fd/ | grep journal
lrwx------ 1 root root 64 Feb 14 12:24 53 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system.journal
lrwx------ 1 root root 64 Feb 14 12:24 54 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1000.journal

ls -l /proc/`pidof syslog-ng`/fd/ | grep journal
lr-x------ 1 root root 64 Feb 14 19:13 12 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@84bffc160c424bf28edd1c7ec02242ed-000000000001caa1-00052b570d4ac59d.journal
lr-x------ 1 root root 64 Feb 14 19:13 14 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1000@b73f83dea0eb41dd87c852ca6c0294ad-000000000001c308-00052b45c4690abd.journal
lr-x------ 1 root root 64 Feb 14 19:13 16 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-620.journal
lr-x------ 1 root root 64 Feb 14 19:13 17 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1001.journal
lr-x------ 1 root root 64 Feb 14 19:13 18 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@84bffc160c424bf28edd1c7ec02242ed-000000000001b910-00052b071e1c5a19.journal
lr-x------ 1 root root 64 Feb 14 19:13 20 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1000@b73f83dea0eb41dd87c852ca6c0294ad-000000000001afed-00052b06a8adc979.journal
lr-x------ 1 root root 64 Feb 14 19:13 21 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@00052d12b5b5c9c7-be7a9643cbd58ba9.journal~
lr-x------ 1 root root 64 Feb 14 19:13 22 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@84bffc160c424bf28edd1c7ec02242ed-000000000001afcb-00052b067c5f0812.journal
lr-x------ 1 root root 64 Feb 14 19:13 23 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system@84bffc160c424bf28edd1c7ec02242ed-000000000001c254-00052b45292c5cc9.journal
lr-x------ 1 root root 64 Feb 14 19:13 25 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/system.journal
lr-x------ 1 root root 64 Feb 14 19:13 26 -> /var/log/journal/982b9e5b84be34905f30c521000003bb/user-1000.journal

такие дела.

Natrio	# 6 лет, 6 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Судя по открытым дескрипторам, syslog-ng таки слушает файлы журнала. Если он не транслирует это в логи, значит именно с ним что-то не так.