Jessie: loggen mit rsyslogd statt systemd

[fjalar]

Momentan zweigt systemd-journald die Logs von iptables ab, so daß ich sie nicht einsehen und weiterverarbeiten kann (journalctl ist mir bekannt, für meine Zwecke untauglich). Gibt es eine Möglichkeit, diese Logs wieder durch rsyslog verarbeiten zu lassen? Abschaltung des journald brachte keine Lösung.
TIA
Matthias

[rendegast]

Eigentlich sollte es reichen, rsyslog installiert und laufend zu haben.

Beide horchen auf der entsprechenden Kernelschnittstelle,
somit kann journald eigentlich nichts "abzweigen".
EDIT ---------------------------------------
habe ich mich wohl vertan, unter systemd scheint ein forwarding(?)

Code: Alles auswählen

#ForwardToSyslog=yes

per default aktiviert.
Jedoch funktioniert es ja auch ohne systemd. Demnach greift systemd/journald wohl in die Schnittstelle ein.
---------------------------------------

Vielleicht eine 'stop'-Regel im rsyslog gesetzt?
Kommen die Meldungen denn im journald?

Damit die iptables-Meldungen mir nicht die Konsole zuschreiben habe ich zBsp

Code: Alles auswählen

kernel.printk = 4

für sysctl.conf. Damit kommen die iptables-Meldungen dennoch im log.

[hikaru]

Soweit ich mitbekommen habe setzt rsyslogd unter Jessie nur noch auf journald auf. Wenn man also Letzterem nicht vertraut, dann ist auf Ersteres auch kein Verlass.

[fjalar]

Soweit ich mitbekommen habe setzt rsyslogd unter Jessie nur noch auf journald auf. Wenn man also Letzterem nicht vertraut, dann ist auf Ersteres auch kein Verlass.

Na ja, anderes Thema. Langfristig werde ich auf OpenBSD umstellen. Momentan bin ich noch an Debian gebunden, das ich seit "Sarge" verwende. Schade, dass es so sein muss...

[fjalar]

Eigentlich sollte es reichen, rsyslog installiert und laufend zu haben.

Stimmt.

Beide horchen auf der entsprechenden Kernelschnittstelle,
somit kann journald eigentlich nichts "abzweigen".

Vielleicht eine 'stop'-Regel im rsyslog gesetzt?
Kommen die Meldungen denn im journald?

1. nein
2. ja.

Gibt es eine Möglichkeit, den journald komplett abzuschalten und trotzdem noch die Logs in syslog zu bekommen? Bzw. Abschalten geht schon, aber davon habe ich nach wie vor keine Logs. Es wird wohl auf irgendein Forwarding hinauslaufen müssen.

[fjalar]

Momentan habe ich folgenden Workaround:

in /etc/systemd/journald.conf die Zeile

Code: Alles auswählen

ForwardToSyslog=yes

setzen (bzw. Auskommentierung aufheben und ein "yes" dahintersetzen).

Momentan scheinen die meisten Messages in /var/log/syslog zu landen, aber ich nehme an, das kann man mit der rsyslogd.conf noch verfeinern.

[MSfree]

Gibt es eine Möglichkeit, diese Logs wieder durch rsyslog verarbeiten zu lassen?

Ja, ganz einfach:

Du mußt die Datei /etc/systemd/journald.conf anpassen und folgende Variablen setzen:

Code: Alles auswählen

Storage=none
ForwardToSyslog=yes
ForwardToWall=no

[fjalar]

Mit einer entsprechenden Weiterleitungsregel konnte ich jetzt erreichen, daß journald die Logs an den syslogd schickt. Für mich bleiben jetzt zwei Fragen:

1. Wenn beide an der gleichen Schnittstelle horchen, wieso bekam der journald Meldungen, die syslogd nicht bekam? Hat jemand schon etwas Ähnliches bei sich beobachtet?

2. Sobald der Zustand wiederhergestellt ist, daß der syslogd die Logmeldungen korrekt erhält - wie kann man den journald abschalten?

[smutbert]

1. Ein Beispiel:

Code: Alles auswählen

MaxLevelSyslog=...

legt fest, aber welcher Priorität der altmodische Logging-Daemon die Meldungen ebenfalls erhält.

2. gar nicht
rsyslog erhält bei dir die Meldungen von systemd-journald. Könntest/würdest du systemd-journald abschalten, würde auch rsyslogd keine Meldungen mehr erhalten.
Wenn du das alte vor-Systemdverhalten wieder haben willst, müsstest du versuchen ohne systemd auszukommen. Darüber gibt es im Forum bereits einige Threads und ich glaube im Wiki auch einen Artikel.

edit:
zumindest glaube ich, dass es so ist

[rendegast]

1. Wenn beide an der gleichen Schnittstelle horchen,

2. gar nicht
rsyslog erhält bei dir die Meldungen von systemd-journald. Könntest/würdest du systemd-journald abschalten, würde auch rsyslogd keine Meldungen mehr erhalten.

habe ich mich wohl vertan, unter systemd scheint ein forwarding(?)

Code: Alles auswählen

#ForwardToSyslog=yes

per default aktiviert.
Jedoch funktioniert es ja auch ohne systemd. Demnach greift systemd/journald wohl in die Schnittstelle ein.