अगर नहीं तो लॉग फाइल बनाने के लिए rsyslog को कैसे बताएं?


12

Rsyslog द्वारा डिफ़ॉल्ट व्यवहार एक मौजूदा लॉग फ़ाइल में निशान को जोड़ना है ।

अब, मैंने देखा है (CentOs, वैज्ञानिक लिनक्स) कि जब rsyslog पहले से ही चल रहा है, तो आप लॉग फ़ाइल को हटाते हैं (जैसे कि आपके एप्लिकेशन से लॉग के निशान के लिए समर्पित), तो आप अपना एप्लिकेशन चलाएं, rsyslog लॉग फ़ाइल नहीं बनाएगा और कोई निशान दर्ज नहीं किया जाएगा।

क्या कोई विन्यास विकल्प है जो rsyslog को लॉग फ़ाइल बनाने के लिए कह सकता है यदि उसमें निशान लगाने से पहले नहीं है?

नोट : service rsyslog restartवसीयत एक खाली लॉग फ़ाइल के निर्माण को मजबूर करती है।

rsyslog.conf (इसमें कुछ नहीं जोड़ा गया)

# rsyslog v5 configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES ####

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
#$ModLoad immark  # provides --MARK-- message capability

$SystemLogRateLimitInterval 1
$SystemLogRateLimitBurst 50000

# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514


#### GLOBAL DIRECTIVES ####

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on

# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf


#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none;local1.none    /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$WorkDirectory /var/lib/rsyslog # where to place spool files
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList   # run asynchronously
#$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###

क्या आप अपनी .conf फ़ाइल साझा कर सकते हैं?
SLM

जवाबों:


10

Rsyslog की POV से, हटाई गई लॉग फ़ाइल अभी भी मौजूद है। ऐसा इसलिए है क्योंकि rsyslog फ़ाइल नाम पर नहीं लिख रहा है, यह उस फ़ाइल हैंडल पर लिख रहा है, जो लॉग फ़ाइल के लिए खुला है।

यूनिक्स सिस्टम वास्तव में एक फ़ाइल को तब तक नहीं हटाते हैं जब तक कि फ़ाइल के खुले हैंडल के साथ कोई प्रक्रिया नहीं होती है। इसका मतलब यह है कि हटाए गए फ़ाइल द्वारा उपयोग किए गए डिस्क स्थान को तब तक मुक्त नहीं किया जाता है जब तक कि कोई भी और सभी खुले फ़ाइल-हैंडल बंद नहीं होते हैं। इसका अर्थ यह भी है कि हटाए गए फ़ाइल के लिए खुली फ़ाइल हैंडल वाली कोई भी प्रक्रिया फ़ाइल से / और लेखन को पढ़ना जारी रख सकती है।

Rsyslog को HUP संकेत (जैसे के माध्यम से pkill -HUP rsyslogया /etc/init.d/rsyslog rotate) भेजना अपनी सभी खोली गई फ़ाइलों को बंद करना, अपनी कॉन्फिग फ़ाइल को फिर से लोड करना और लिखने के लिए सभी लॉग फ़ाइलों को फिर से खोलना (यदि आवश्यक हो तो उन्हें बनाना) बताता है।

Rsyslogd को पुनरारंभ करना भी काम करता है।

ध्यान दें कि यह एक सुविधा है, बग नहीं, कुछ उपयोगी निहितार्थों के साथ - जैसे कि यह है कि rsyslog तब तक एक ही लॉग फ़ाइल में लिखता रहता है, जब तक कि उसे घुमाया नहीं जाता (यानी बदला हुआ mv-ed) जब तक कि rsyslog को HUU सिग्नल प्राप्त नहीं हो जाता। इसका मतलब यह है कि लॉग-प्रोसेसिंग स्क्रिप्ट और उपयोगिताओं को समय के बारे में सावधानीपूर्वक सावधानी बरतने की ज़रूरत नहीं है - वे बस सभी लॉग को घुमा सकते हैं, rsyslog को एक HUP भेज सकते हैं, और सब कुछ काम करना जारी रखता है, जिसमें लॉग डेटा का कोई नुकसान नहीं है।

BTW, rsyslog के साथ ऐसा न होने का एकमात्र तरीका यह होगा कि यदि हर राइट (या कम से कम कहा जाता है sync()) पर हर लॉग फ़ाइल को बंद और फिर से खोला जाए । प्रदर्शन लाजिमी होगा।


क्या आपको पता है कि अगर कोई किल-एचयूपी टू रसलॉग इसे एक नई फाइल पर लिखना शुरू कर देगा, तो हाथ से छूट जाएगा?
SLM

आपका मतलब है, अगर rsyslog.conf बदल गया है और एक नई लॉग फ़ाइल परिभाषित है? हां, यह निश्चित रूप से बनाएगा और HUP प्राप्त करने पर नई फ़ाइल पर लिखना शुरू कर देगा ... यह उस बिंदु का हिस्सा है जो कॉन्फ़िगरेशन को फिर से लोड कर रहा है।
कैस

ठीक है, यह वही है जो मैंने अपने 3 तरीके में सुझाया, धन्यवाद!
slm

समस्या यह है कि rsyslog चल रहा है, आप एक एप्लिकेशन लॉग फ़ाइल (rsyslog को फिर से शुरू किए बिना) हटाते हैं और फिर कोई और ट्रेस लॉग नहीं किया जाएगा क्योंकि rsyslog लॉग फ़ाइल तब नहीं बनाएगा जब तक वह चल नहीं रहा हो ...
fduff

1
जैसा कि मैंने कहा, rsyslog के POV से, वह फ़ाइल हैंडल अभी भी मौजूद है। जब तक आप इसे बताकर या HUP संकेत के साथ इसे नहीं बताएंगे, तब तक लॉग फ़ाइलों को बंद या फिर से खोलना / फिर से खोलना नहीं होगा । rsyslog वही करता है जो आप इसे करने के लिए कहते हैं, और नहीं। इससे भी महत्वपूर्ण बात यह है कि समस्या यह नहीं है कि rsyslog क्या करता है, बल्कि rsyslog के व्यवहार के बारे में आपकी समझ में और यह ऐसा व्यवहार क्यों करता है।
कैस

3

$ FileCreateMode

क्या यह विकल्प वह नहीं करता है जो आप चाहते हैं, $ FileCreateMode ?

अंश

$FileCreateMode 0600

This sample lets rsyslog create files with read and write access only for the 
users it runs under.

The following sample is deemed to be a complete rsyslog.conf:

$umask 0000 # make sure nothing interferes with the following definitions
*.* /var/log/file-with-0644-default
$FileCreateMode 0600
*.* /var/log/file-with-0600
$FileCreateMode 0644

*.* /var/log/file-with-0644

फ़ाइल आउटपुट मॉड्यूल

Rsyslog दस्तावेज़ीकरण के अनुसार, फ़ाइल आउटपुट मॉड्यूल के फ़ाइल तर्क को ऐसा करने के लिए इस्तेमाल किया जा सकता है।

अंश ओफ़्फ़ाइल मॉड्यूल

फ़ाइल

यदि फ़ाइल पहले से मौजूद है, तो नया डेटा इसमें जोड़ा जाता है। मौजूदा डेटा को छोटा नहीं किया गया है। यदि फ़ाइल पहले से मौजूद नहीं है, तो यह बनाई गई है। जब तक rsyslogd सक्रिय है तब तक फाइलें खुली रखी जाती हैं। यह बाहरी लॉग फ़ाइल रोटेशन के साथ संघर्ष करता है। रोटेशन के बाद किसी फ़ाइल को बंद करने के लिए, फ़ाइल को दूर घुमाए जाने के बाद rsyslogd को HUP सिग्नल भेजें।

Syslog को HUP संकेत भेजें

मुझे लगता है कि अंततः आपको ऐसा करने के लिए rsyslog को "ट्रिगर" करने की आवश्यकता है। मुझे नहीं लगता कि यह वही होगा जो आप स्वचालित रूप से चाहते हैं। इसलिए आप इसे हटाए जाने के बाद लॉग फ़ाइल के पुन: निर्माण को ट्रिगर करने के लिए इसे HUP संकेत दे सकते हैं।

$ sudo pkill -HUP rsyslog

ऐसा करने से मेरी /var/log/messagesलॉग फ़ाइल में निम्न संदेश बनते हैं :

Sep 26 15:16:17 grinchy rsyslogd: [origin software="rsyslogd" swVersion="4.6.3" x-pid="1245" x-info="http://www.rsyslog.com"] rsyslogd was HUPed, type 'lightweight'.
Sep 26 15:16:44 grinchy rsyslogd: [origin software="rsyslogd" swVersion="4.6.3" x-pid="1245" x-info="http://www.rsyslog.com"] rsyslogd was HUPed, type 'lightweight'.

नहीं, मैंने इसका उपयोग फ़ाइल अनुमतियां सेट करने के लिए किया है और यह ठीक काम करता है। समस्या यह है कि यदि लॉग फ़ाइल को हटा दिया गया है, तो syslog संदेश लॉगिंग से पहले इसे बनाने का प्रयास नहीं करेगा।
fduff

इसे हटा दिया गया है, और सर्वर को पुनरारंभ नहीं किया गया है?
स्लम

बिल्कुल सही। मैं कुछ परीक्षण कर रहा हूं और मैं इस विशिष्टता के साथ आया हूं ...
fduff

@fduff - मेरे अपडेट देखें, तीसरा प्रयास करें!
SLM
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.