Systemd: Deaktivierung von syslog / rsyslog

[geier22]

Seitdem systemd die Protokollierung der wichtigen System- Sachen übernommen hat, und man die Protokolle auch
gut mit journalctl bzw. grafisch mit gnome-logs einsehen kann, stellt sich mir die Frage,
ob die bisherige Protokollierung noch notwendig ist.

Vor allem: Was passiert und welche Auswirkungen hat es auf das System, wenn ich z.B. rsyslog deinstalliere.

Aus Wiki:

Rsyslog ist eine quelloffene Implementierung des syslog-Protokolls für Unix und Unix-ähnliche Systeme.
Es erweitert das ursprüngliche syslogd-Modell mit inhaltsbasierender Filterung, umfassenden Einsatzmöglichkeiten
für Filter, flexible Konfigurationsoptionen und fügt wichtige Merkmale, wie TCP als Übermittlungsprotokoll, hinzu.

von rsyslog

Rsyslog ist eine multithread-fähige Implementierung von syslogd (einem Systemwerkzeug für die Protokollierung von Nachrichten).
.
.
Rsyslogd ist der Standard-syslogd auf Debian-Systemen.

Wenn ich das richtig verstehe, müsste ich rsyslog deinstallieren, damit nichts mehr Protololliert wird?

Die anderen Protokolle in /var/log/ werden ja wohl von den Programmen selbst dort eingetragen - oder ist diese Annahme falsch??

zumindest der Inhalt dieser Protokolle existiert auch in den logs von Systemd:

/var/log/daemon.log
/var/log/faillog
/var/log/syslog
/var/log/user.log
/var/log/lastlog
/var/log/kern.log

Code: Alles auswählen

apt-cache depends rsyslog
rsyslog
  Hängt ab von: libc6
  Hängt ab von: libestr0
  Hängt ab von: libjson-c2
  Hängt ab von: liblogging-stdlog0
  Hängt ab von: liblognorm2
  Hängt ab von: libsystemd0
  Hängt ab von: libuuid1
  Hängt ab von: zlib1g
  Hängt ab von: init-system-helpers
  Hängt ab von: lsb-base
  Kollidiert mit: <linux-kernel-log-daemon>
    inetutils-syslogd
    syslog-ng-core:i386
    syslog-ng-core
    busybox-syslogd
    socklog-run
  Kollidiert mit: <system-log-daemon>
    inetutils-syslogd
    syslog-ng-core:i386
    syslog-ng-core
    busybox-syslogd
    socklog-run
  Empfiehlt: logrotate
 |Schlägt vor: rsyslog-mysql
  Schlägt vor: rsyslog-pgsql
  Schlägt vor: rsyslog-mongodb
  Schlägt vor: rsyslog-doc
  Schlägt vor: rsyslog-gnutls
  Schlägt vor: rsyslog-gssapi
  Schlägt vor: rsyslog-relp

Ich hab keine Ahnung, welche Auswirkungen die Deinstallation von rsyslog auf das System hat.

Muss ich bei System-Updates in Zukunft aufpassen, das mir nicht "aus Versehen" einige Abhängigkeiten
deinstalliert werden ? Ohne libc6 dürfte da herzlich wenig funktionieren (apt-mark manual PAKET1 [PAKET2] ???)

Kann man die "Standard- Protokollierung" auch ohne Deinstallation von rsyslog deaktivieren?

Für Meinugen und Tipps wäre ich euch dankbar

[catdog2]

Du kannst rsyslog entfernen und stattdessen das Verzeichnis /var/log/journal/ anlegen (evtl noch systemd-journald neu starten).

[geier22]

Du kannst rsyslog entfernen und stattdessen das Verzeichnis /var/log/journal/ anlegen (evtl noch systemd-journald neu starten)

Da ist schon passiert.
Deshalb ärgert mich ja auch ein bisschen die doppelte Protokollierung.
Hab mich bisher bloß nicht getraut.

[catdog2]

Einfach entfernen, journald ist quasi der syslogd und reicht die logs blos an rsyslog weiter (bzw. im Falle von rsyslog ist es glaub ich sogar umgekehrt, rsyslog liest sie selbst aus dem jourrnal).

[geier22]

So - rsyslog erst mal "gepurgt".
wenn ich im Taskmanager nachschaue laufen da 2 Prozesse:

Code: Alles auswählen

/usr/bin/pulseaudio --start --log-target=syslog
/lib/systemd/system-journald

Seltsam finde ich pulesaudio: nach meinem Verständnis will da Pulseaudio logs an syslog weitergeben.
im (ja noch vorhandenen) syslog steht aber genau dasselbe wie im Journal von systemd:
die immer wiederkehrende Meldung:

Code: Alles auswählen

pulseaudio[1923]: [pulseaudio] pid.c: Daemon already running.

ich werde mal einen Neustart hinlegen und schauen ob sich da was von selbst reguliert (wahrscheinlich aber nicht, da das ja in irgendeiner Config stehen wird )

[catdog2]

Seltsam finde ich pulesaudio: nach meinem Verständnis will da Pulseaudio logs an syslog weitergeben.

Ja, und was ist falsch daran?

[TomL]

Angeregt durch diesen Thread habe ich es auch einfach mal "gepurged". Bei mir wurden allerdings keine Abhängigkeiten gelistet, sondern einfach nur rsyslog entfernt. Und tatsächlich, die üblichen Logs wie messages, syslog usw werden nicht mehr gefüllt. Was mich allerdings verblüfft hat, war "dmesg -T"... das zeigt nämlich unverändert den letzten Boot. Kann man daraus schließen, dass es sich schon vorher im journal bedient hat?

Pulseaudio sieht bei mir so aus... also ohne syslog:

Code: Alles auswählen

# ps -aux | grep pulseaudio
thomas    1006  0.0  0.1 365636  9888 ?        S<l  20:04   0:00 /usr/bin/pulseaudio --start
thomas    1044  0.0  0.0   4336   104 ?        S    20:04   0:00 /bin/sh /usr/bin/start-pulseaudio-x11

Und alle Pulseaudio-Meldungen stehen nach dem Reboot sauber im Journal.

[geier22]

Kann man daraus schließen, dass es sich schon vorher im journal bedient hat?

... Die Wege von Linux sind unergründlich - das log-File von dmesg hat bei mir 0 byte
Bei mir:

Code: Alles auswählen

ps lax |grep pulse
0  1000  1677  1613  20   0 605172 57176 -      Sl   ?          0:00 /usr/lib/x86_64-linux-gnu/xfce4/panel/wrapper-2.0 /usr/lib/x86_64-linux-gnu/xfce4/panel/plugins/libpulseaudio-plugin.so 3 14680109 pulseaudio PulseAudio Plugin Adjust the audio volume of the PulseAudio sound system
1  1000  1727     1   9 -11 364312 11288 -      S<l  ?          0:00 /usr/bin/pulseaudio --start --log-target=syslog

Wo kommt das her ????????
so - erstmal die Zeile in der /etc/pulse/client.conf auskommentiert (dachte ich):

Code: Alles auswählen

# extra-arguments = --log-target=syslog

Neustart

Der Task ist nicht weg

aus der /etc/pulse/client.conf :

Configuration file for PulseAudio clients. See pulse-client.conf(5) for
## more information. Default values are commented out. Use either ; or # for
## commenting.

.... wer lesen kann ist klar im Vorteil:
das Semikolon scheint ja auch "auskommentieren" zu bedeuten--> wieder was gelernt

ist also ein "Default value" wo kann man das Abstellen?
in den anderen *.conf bzw. *.pa in dem Verzeichnis /etc/ pulse ist leider nichts vom syslog zu finden

[TomL]

Kann man daraus schließen, dass es sich schon vorher im journal bedient hat?

... Die Wege von Linux sind unergründlich - das log-File von dmesg hat bei mir 0 byte

Ja, klar, ist bei mir auch null... aber es ist auch in meiner VM 0 Bytes gross, obwohl da rsyslog nicht deinstalliert wurde. Aber ich meinte nicht die Datei, sondern das CLI-Kommando "dmesg -T". Da hätte ich nämlich erwartet, dass es die Files messages oder syslog auswertet und das es nach dem purge von rsyslog eben sagt "Keine Daten gefunden" (oder ähnlich). Aber es werden alles Meldungen wie zuvor gelistet... das heisst doch, es hat sich vorher schon im Journal bedient und die rsyslog-Logs waren vermutlich schon vor dem Purge tot.

[catdog2]

Da hätte ich nämlich erwartet, dass es die Files messages oder syslog auswerte

Macht es aber nicht, dmesg liest den message ringbuffer des Kernels aus, die manpage hätts gewusst.

[TomL]

Da hätte ich nämlich erwartet, dass es die Files messages oder syslog auswerte

Macht es aber nicht, dmesg liest den message ringbuffer des Kernels aus, die manpage hätts gewusst.

Ja, das wusste ich. Aber ich hatte gedacht, gemäß der Devise "unter Linux ist alles eine Datei", dass eben die Date "syslog" dieser Ringbuffer ist und die Datei "messages" irgendwie für "lange" und "alles" ist *hmmm*... da habe ich wohl klassisch was falsch verstanden.

[catdog2]

Der wird entweder über /proc/kmsg oder über den system call syslog(2) gelesen (welcher, um die Verwirrung perfekt zu machen, nichts mit dem syslogd zu tun hat). Das journal greift die Dinger natürlich auch ab, kann man mit journalctl --dmesg lesen, hat den Vorteil dass man nicht nur den aktuellen boot anschauen kann und auch Dinge sieht die schon hinten runter gefallen sind.

edit:// Bzw. ist wohl die "neuerdings" bevorzugte Variante die Verwendung von /dev/kmsg

[TomL]

.... wer lesen kann ist klar im Vorteil:
das Semikolon scheint ja auch "auskommentieren" zu bedeuten--> wieder was gelernt

ist also ein "Default value" wo kann man das Abstellen?
in den anderen *.conf bzw. *.pa in dem Verzeichnis /etc/ pulse ist leider nichts vom syslog zu finden

Ich würde die Zeile einfach mal kopieren und in der Kopie den Comment-Tag und den Eintrag entfernen.... also die Variable leer definieren. Vielleicht hilft das.

Kann ich eigentlich die alten jetzt ungenutzten Logs syslog und messages jetzt einfach löschen?

[geier22]

Kann ich eigentlich die alten jetzt ungenutzten Logs syslog und messages jetzt einfach löschen?

Da hat sich seit ich rsyslog gelöscht habe nix mehr getan. Kann man ja archivieren als Anschauung aus den "guten alten Zeiten"!
Die Daten holt sich journalctl jetzt offensichtlich von

Code: Alles auswählen

hans@sparkyxfce:/var/log/journal/b85d8de0981079fb68762217504659b9$ ls -A --full-time
insgesamt 24580
-rw-r-----+ 1 root systemd-journal 8388608 2016-02-28 11:44:16.629980854 +0100 system.journal
-rw-r-x---+ 1 root systemd-journal 8388608 2016-02-28 11:52:59.130280422 +0100 user-1000.journal
-rw-r-x---+ 1 root systemd-journal 8388608 2016-02-28 06:57:23.050042083 +0100 user-65534.journal

Oder irgendwo aus (wahrscheinlich) tmpfs ???
Wenn mir jetzt noch gesagt wird, wo der Kernel seinen ringbuffer ablegt bin ich fast glücklich, weil: mal wieder was gelernt
Müsste - so vermute ich mal irgendwo in tmpfs sein?

Code: Alles auswählen

hans@sparkyxfce:~$ df
Dateisystem     1K-Blöcke    Benutzt  Verfügbar Verw% Eingehängt auf
udev              8143200          0    8143200    0% /dev
tmpfs             1639040       1372    1637668    1% /run
/dev/sdb1        35146488    8742016   24596088   27% /
tmpfs             8195200       2940    8192260    1% /dev/shm
tmpfs                5120          4       5116    1% /run/lock
tmpfs             8195200          0    8195200    0% /sys/fs/cgroup
/dev/sdb5        87658800    7631120   75551776   10% /home
/dev/sda3       427721920  102719348  303252456   26% /media/Debian_Home
/dev/sdc1       720945320  510266436  174033868   75% /media/HD753LJ
/dev/sdd1      2884152536 1680035380 1057587520   62% /media/Musik
tmpfs             1639040         32    1639008    1% /run/user/1000
tmpfs             1639040          4    1639036    1% /run/user/113

Ich würde die Zeile einfach mal kopieren und in der Kopie den Comment-Tag und den Eintrag entfernen.... also die Variable leer definieren. Vielleicht hilft das.

Werde ich mal machen, mal sehen ob PulseAudio meckert, oder mir gar alles um die Ohren fliegt