keine einträge in /var/log/messages

[thorn]

Hi,

mein server hört plötzlich auf einträge in /var/log/messages vorzunehmen .... die letzten einträge in /var/log/messages:

May 3 17:21:26 web12 useradd[8172]: new account added - account=popuser, uid=110, gid=104, home=/, shell=/bin/false, by=0
May 3 17:21:26 web12 useradd[8172]: account added to group - account=popuser, group=video, gid=33, by=0
May 3 17:21:26 web12 useradd[8172]: account added to group - account=popuser, group=dialout, gid=16, by=0
May 3 17:21:26 web12 useradd[8172]: running USERADD_CMD command - script=/usr/sbin/useradd.local, account=popuser, uid=110, gid=104, home=/, by=0
May 3 17:21:26 web12 usermod[8174]: home directory changed - account=alias, uid=2021, home=/var/qmail/alias, old home=/qmail/alias, by=0
May 3 17:21:29 web12 syslog-ng[5176]: SIGHUP received, restarting syslog-ng



was könnte da das problem sein ?

dank im vorraus!

cya
thorn

[daemotron]

May 3 17:21:29 web12 syslog-ng[5176]: SIGHUP received, restarting syslog-ng

Wahrscheinlich ist dein Syslog-Daemon eben nicht mehr hochgekommen... Was sagt denn ein

Code: Select all

ps aux | grep syslog-ng

cu
Jesco

[thorn]

Hi,

das dachte ich mir anfangs auch, aber er läuft:

Code: Select all

web12:~ # ps aux | grep syslog-ng
root     14246  0.0  0.1   1952   752 ?        Ss   01:00   0:00 /sbin/syslog-ng
root     20955  0.0  0.1   1820   536 pts/0    D+   14:43   0:00 grep syslog-ng

ich kann ihn auch restarten und er meint dass er läuft:

Code: Select all

web12:~ # /etc/init.d/syslog restart
Shutting down syslog services                                        done
Starting syslog services                                             done
web12:~ # /etc/init.d/syslog status
Checking for service syslog:                                         running

es werden alle logfiles geschrieben ... nur eben nicht die /var/log/messages ... sowas hab ich bisher auch noch nicht erlebt

cya
thorn

[lord_pinhead]

Schonmal deine Configs überprüft? Der schreibt ja schon seit ein paar Tagen nix mehr, kann es vielleicht sein das du ein Update gemacht hast?

[thorn]

Hi,

erstmal sry für die späte antwort ...

meine config sieht so aus.

Code: Select all

cat /etc/syslog-ng/syslog-ng.conf


#
# /etc/syslog-ng/syslog-ng.conf
#
# Automatically generated by SuSEconfig on Wed May  3 17:21:29 CEST 2006.
#
# PLEASE DO NOT EDIT THIS FILE!
#
# you can modify /etc/syslog-ng/syslog-ng.conf.in instead
#
#
# File format description can be found in syslog-ng.conf(5)
# and /usr/share/doc/packages/syslog-ng/syslog-ng.txt.
#

options { long_hostnames(off); sync(0); perm(0640); stats(3600); };

#
# 'src' is our main source definition. you can add
# more sources driver definitions to it, or define
# your own sources, i.e.:
#
#source my_src { .... };
#
source src {
        #
        # include internal syslog-ng messages
        # note: the internal() soure is required!
        #
        internal();

        #
        # the following line will be replaced by the
        # socket list generated by SuSEconfig using
        # variables from /etc/sysconfig/syslog:
        #
        unix-dgram("/dev/log");
        unix-dgram("/var/lib/named/dev/log");
        unix-dgram("/var/lib/ntp/dev/log");

        #
        # uncomment to process log messages from network:
        #
        #udp(ip("0.0.0.0") port(514));
};


#
# Filter definitions
#
filter f_iptables   { facility(kern) and match("IN=") and match("OUT="); };

filter f_console    { level(warn) and facility(kern) and not filter(f_iptables)
                      or level(err) and not facility(authpriv); };

filter f_newsnotice { level(notice) and facility(news); };
filter f_newscrit   { level(crit)   and facility(news); };
filter f_newserr    { level(err)    and facility(news); };
filter f_news       { facility(news); };

filter f_mailinfo   { level(info)      and facility(mail); };
filter f_mailwarn   { level(warn)      and facility(mail); };
filter f_mailerr    { level(err, crit) and facility(mail); };
filter f_mail       { facility(mail); };

filter f_cron       { facility(cron); };

filter f_local      { facility(local0, local1, local2, local3,
                               local4, local5, local6, local7); };

filter f_messages   { not facility(news) and not filter(f_iptables); };
filter f_warn       { level(warn, err, crit) and not filter(f_iptables); };
filter f_alert      { level(alert); };


#
# Most warning and errors on tty10 and on the xconsole pipe:
#
destination console  { file("/dev/tty10"    group(tty) perm(0620)); };
log { source(src); filter(f_console); destination(console); };

destination xconsole { pipe("/dev/xconsole" group(tty) perm(0400)); };
log { source(src); filter(f_console); destination(xconsole); };

# Enable this, if you want that root is informed immediately,
# e.g. of logins:
#
#destination root { usertty("root"); };
#log { source(src); filter(f_alert); destination(root); };


#
# News-messages in separate files:
#
destination newscrit { file("/var/log/news/news.crit"); };
log { source(src); filter(f_newscrit); destination(newscrit); };

destination newserr { file("/var/log/news/news.err"); };
log { source(src); filter(f_newserr); destination(newserr); };

destination newsnotice { file("/var/log/news/news.notice"); };
log { source(src); filter(f_newsnotice); destination(newserr); };

#
# and optionally also all in one file:
#
#destination news { file("/var/log/news.all"); };
#log { source(src); filter(f_news); destination(news); };


#
# Mail-messages in separate files:
#
destination mailinfo { file("/var/log/mail.info"); };
log { source(src); filter(f_mailinfo); destination(mailinfo); };

destination mailwarn { file("/var/log/mail.warn"); };
log { source(src); filter(f_mailwarn); destination(mailwarn); };

destination mailerr  { file("/var/log/mail.err" fsync(yes)); };
log { source(src); filter(f_mailerr);  destination(mailerr); };

#
# and also all in one file:
#
destination mail { file("/usr/local/psa/var/log/maillog"); };
log { source(src); filter(f_mail); destination(mail); };


#
# Cron-messages in one file:
#
#destination cron { file("/var/log/cron"); };
#log { source(src); filter(f_cron); destination(cron); };


#
# Some boot scripts use/require local[1-7]:
#
destination localmessages { file("/var/log/localmessages"); };
log { source(src); filter(f_local); destination(localmessages); };


#
# All messages except iptables and the facilities news and mail:
#
destination messages { file("/var/log/messages"); };
log { source(src); filter(f_messages); filter(f_mailwarn); destination(messages); };


#
# Firewall (iptables) messages in one file:
#
destination firewall { file("/var/log/firewall"); };
log { source(src); filter(f_iptables); destination(firewall); };


#
# Warnings (except iptables) in one file:
#
destination warn { file("/var/log/warn" fsync(yes)); };
log { source(src); filter(f_warn); destination(warn); };

#
# Enable this, if you want to keep all messages in one file:
#
#destination allmessages { file("/var/log/allmessages"); };
#log { source(src); destination(allmessages); };

die config wurde zum selben zeitpunkt erstellt, wie das loggen aufgehört hat ... schon komisch ...

eigentlich sieht die config auch ok aus ...

Ich hab kein update gemacht. Der Server wurde sogar reinstalled (inkl. Plesk 7.5) ... ist ja (noch) kein production server ...
denn ein production-server ohne logs wär ja schon etwas sinnfrei ;)

cya
thorn

[bernsteinkater]

plesk...

"destination messages { file("/var/log/messages"); };
log { source(src); filter(f_messages); filter(f_mailwarn); destination(messages); }; "

Editiere die /etc/syslog-ng/syslog-ng.conf.in und nimm dem mailfilter raus, also so:

"log { source(src); filter(f_messages); destination(messages); };"

Dann SuSEconfig (sofern Du SuSE nutzt aber geh ich mal von aus) und dann /etc/init.d/syslog reload.

[thorn]

Hi,

das hat geholfen!

Der Syslog lggt wieder:

Jul 13 01:06:49 web12 syslog-ng[4941]: new configuration initialized


Vielen Dank mal.


Ich bin auch kein fan von Plesk ... aber Kunden wollen eben sowas - leider Vorher waren die guten alten RaQs im Einsatz (d.h. sie sind imme rnoch im EInsatz. Man kann die Leute ja net einfach zu Plesk "zwingen" *g*) und erst seit ca. 3 Monaten sind neue Server mit Plesk im Einsatz ...

Evtl. sollten doch neue Server mit BlueQuartz in Betrieb gehen ...

cya
thorn