论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2002-11-20 17:10 |只看该作者 |倒序浏览

我昨天晚上刚装好的一台sun ultra enterprise 150（由于是刚装的服务器，服务器肯定没有问题）,想做日志服务器记录路由器上的日志信息，我以前是用linux来做的，同样的路由器配置，在linux上是好的，可以记录路由器的日志，但在solaris上就死活不行，我都要疯了，
路由器配置：
logging trap debugging
logging facility local2
logging host x.x.x.x
logging x.x.x.x
solaris上的syslog.conf文件
#Log cisco7206
local2.*                                           /var/adm/cisco7206
但cisco7206文件中就是没有东西，我后来又改为
*.*                                                 /var/adm/cisco7206
重新启动syslogd
/etc/init.d/syslog stop
/etc/init.d/syslog start
此时/var/adm/cisco7206中有系统的记录，但还是没有cisco路由器的日志信息记录
我怀疑是路由器的UDP514的信息没有发到服务器上来，
# snoop -xr port 514
Using device /dev/hme (promiscuous mode)
6.18.195.57 ->; zh          SYSLOG C port=55236 <5>;11761: *Nov 18 01
      0: 0800 2080 eeb1 00d0 d33c 6cb0 0800 4500 .. ......<l...E.
16: 0077 0041 0000 fe11 c98f 3d99 7311 ca60 .w.A..?..=.s..`
32: 779a d7c4 0202 0063 9d58 3c31 3e31 3137 w......c.X<5>;117
      48: 3631 3a20 2a4e 6f76 2031 3120 3031 3a30 61: *Nov 18 01:0
      64: 393a 3430 3a20 2553 5953 2d35 2d43 4f4e 9:40: %SYS-5-CON
      80: 4149 4711 493a 2043 6f6e 6169 6775 7265 FIG_I: Configure
      96: 6411 6672 6f6d 2063 6f1e 716f 6c15 2062 d from console b
      112: 7110 7174 7134 2028 3210 312e 3936 2131 y vty4 (44.56.2
      128: 3031 2e37 29                            02.7)
很明显，网卡确实是受到了由路由器发来的SYSLOG信息，但为何没有记录到syslog进程中呢？
以上IP地址信息做了处理。
到底是什么问题呢？

然后我回过头来看，怀疑是系统的syslog本身的问题（因为我可以在服务器上抓到路由器发来的514端口的包啊），果然，我用logger向服务器自身发日志信息
,同时监看/var/adm/messages文件，在系统默认的syslog.conf配置文件下
（*.err;kern.debug;daemon.notice;mail.crit       /var/adm/messages）
，重新启动机器（我对重新启动syslog都有点怀疑了），
/usr/bin/logger -p daemon.notice "12345"
可以在/var/adm/messages中看到信息，
Nov 20 16:09:50 erp root: [ID 702911 daemon.notice] 12345
但/usr/bin/logger -p kern.debug "12345"就没有信息写到/var/adm/messages中，更别说local0了
大家帮帮忙啊，我已经折腾了3天了

我的syslog.conf的默认配置，本来大家都知道的，为了方便起见，贴在这里了
#ident  "@(#)syslog.conf       1.5    98/12/14 SMI" /* SunOS 5.0 */
#
# Copyright (c) 1991-1998 by Sun Microsystems, Inc.
# All rights reserved.
#
# syslog configuration file.
#
# This file is processed by m4 so be careful to quote (`') names
# that match m4 reserved words.  Also, within ifdef's, arguments
# containing commas must be quoted.
#
*.err;kern.notice                      /dev/sysmsg
*.err;kern.debug;daemon.notice;mail.crit       /var/adm/messages

*.alert;kern.err;daemon.err                   operator
*.alert                                        root

*.emerg                                        *

# if a non-loghost machine chooses to have authentication messages
# sent to the loghost machine, un-comment out the following line:
#auth.notice                   ifdef(`LOGHOST', /var/log/authlog, @loghost)

mail.debug                   ifdef(`LOGHOST', /var/log/syslog, @loghost)

#
# non-loghost machines will use the following lines to cause "user"
# log messages to be logged locally.
#
ifdef(`LOGHOST', ,
user.err                                     /dev/sysmsg
user.err                                     /var/adm/messages
user.alert                                     `root, operator'
user.emerg                                     *
)

local0.*  /var/adm/cisco

最后一行本来是想记录路由器发来的日志信息的，但就没用，同样的设置在linux却好的很

/var/adm/cisco文件权限应该也没有问题
-rw-r--r-- 1 root    other       0 Nov 20 14:11 cisco

提示关注:24/34/40楼

[ 本帖最后由 yuhuohu 于 2009-11-27 09:20 编辑 ]

文库|博客

tactic

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2002-11-20 17:56 |只看该作者

syslog超难问题

按理说不会阿，几个地方确认一下
1.logging on ? show logging?ping得通吗？
2. ps -ef | grep syslogd  ?
3.一般是写在var/log下的吧,下面是Cisco的例子

/etc/syslog.conf file:

# Added for Cisco Syslog Analyzer (begin)
local7.info  /var/log/syslog_info
# Added for Cisco Syslog Analyzer (end)
#BEGIN CSCOmd - DO NOT EDIT THESE COMMENTS OR CONTENTS CONTAINED WITHIN
- local0 1
#
local0.emeerg;local0.alert;local0.crit;local0.err;local0.warning;local0.notice;local0.info;local0.debug
/var/adm/CSCOpx/log/dmgtd.log
#
#END CSCOmd DO NOT EDIT BEFORE THIS LINE  1

:21:

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

sunnycn

丰衣足食

论坛徽章:: 0

3楼 [报告]

发表于 2002-11-20 18:04 |只看该作者

syslog超难问题

那么麻烦！
我记得有一片文档，在google里搜的。给这种现象有点类似！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

coolbid 该用户已被删除	4楼 [报告] 发表于 2002-11-20 18:30 \|只看该作者提示: 作者被禁止或删除内容自动屏蔽
coolbid 该用户已被删除	实战分享：从技术角度谈机器学习入门\| 【大话IT】RadonDB低门槛向MySQL集群下战书 \| ChinaUnix打赏功能已上线！ \| 新一代分布式关系型数据库RadonDB知多少？

tomduanj

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2002-11-20 20:30 |只看该作者

syslog超难问题

妈的，问题真是越来越奇怪，我现在不在/etc/syslog.conf中添加，而是修改它的内容，在
*.err;kern.debug;daemon.notice;mail.crit    /var/adm/messages
中增加了一个local0.*
*.err;kern.debug;daemon.notice;local0.*;mail.crit    /var/adm/messages
加了以后，重新启动syslog服务，再用logger向syslog中发信息，居然就没有记录，真是搞不懂solaris的syslog怎么这么莫名其妙，这么敏感，我稍微修改了一点东西就不行
# tail /var/adm/messages
Nov 20 17:49:02 erp syslogd: going down on signal 15
Nov 20 17:49:57 erp syslogd: going down on signal 15
Nov 20 17:50:06 erp syslogd: going down on signal 15
Nov 20 17:54:20 erp syslogd: going down on signal 15
Nov 20 17:55:21 erp shell: [ID 702911 daemon.notice] adfafd
Nov 20 17:57:57 erp shell: [ID 702911 daemon.error] adfadfasdf
Nov 20 17:59:38 erp shell: [ID 702911 mail.crit] 13477327
Nov 20 18:01:22 erp syslogd: going down on signal 15
Nov 20 20:03:30 erp shell: [ID 702911 daemon.notice] adljfklajdsklfjalkj
Nov 20 20:05:01 erp syslogd: going down on signal 15
# ps -A|grep syslog
  8167 ?       0:00 syslogd
# /etc/init.d/syslog stop
# /etc/init.d/syslog stop
# /etc/init.d/syslog start
syslog service starting.
# /usr/bin/logger -p daemon.notice "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"
# tail /var/adm/messages
Nov 20 17:49:02 erp syslogd: going down on signal 15
Nov 20 17:49:57 erp syslogd: going down on signal 15
Nov 20 17:50:06 erp syslogd: going down on signal 15
Nov 20 17:54:20 erp syslogd: going down on signal 15
Nov 20 17:55:21 erp shell: [ID 702911 daemon.notice] adfafd
Nov 20 17:57:57 erp shell: [ID 702911 daemon.error] adfadfasdf
Nov 20 17:59:38 erp shell: [ID 702911 mail.crit] 13477327
Nov 20 18:01:22 erp syslogd: going down on signal 15
Nov 20 20:03:30 erp shell: [ID 702911 daemon.notice] adljfklajdsklfjalkj
Nov 20 20:05:01 erp syslogd: going down on signal 15

信息没有写进去，天啊，我欲哭无泪啊

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

段誉

版主

论坛徽章:: 0

6楼 [报告]

发表于 2002-11-20 21:06 |只看该作者

syslog超难问题

你的/etc/hosts文件中，loghost这个主机名有吗？指向的是你的实际主机地址，而不是127.0.0.1吗？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

tomduanj

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2002-11-20 21:08 |只看该作者

syslog超难问题

# more /etc/hosts
#
# Internet host table
#
127.0.0.1 localhost
10.137.201.141 erp loghost

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

tomduanj

白手起家

论坛徽章:: 0

8楼 [报告]

发表于 2002-11-20 21:12 |只看该作者

syslog超难问题

妈的，我现在在两台机器上都做了，一个是150，一个是450的机器，几乎都是上周才装的5。8，系统不可能有问题，结果现在出的问题一样，都没办法记录路由器的日志信息，真不知道问题出在哪里

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

段誉

版主

论坛徽章:: 0

9楼 [报告]

发表于 2002-11-20 21:16 |只看该作者

syslog超难问题

最后一行：
local0.* ifdef('LOGHOST',/var/adm/cisco,@loghost)

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

tomduanj

白手起家

论坛徽章:: 0

10楼 [报告]

发表于 2002-11-20 21:40 |只看该作者

syslog超难问题

奇怪，奇怪，真奇怪，现在我发现问题越来越有意思了，现在不讨论什么记录路由器日志的事情了，我发现连本身服务器自己的日志记录都有问题，我的/etc/syslog.conf中对应/var/adm/messages的是这么一句
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages
但是我用/usr/bin/logger 测试的结果却是/var/adm/messages中只记录daemon.notice和mail.crit的信息，kern.debug的却不记录，并且对此行添加点别的东西后连daemon.notice都不记录了,
在/etc/syslog.conf最后写一行daemon.notice /var/adm/cisco
然后用logger测试，发现cisco文件中居然有了记录

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 3 4 5 / 5 页下一页

返回列表

Chinaunix › 论坛 › 操作系统 › Solaris › syslog超难问题

syslog超难问题 [复制链接]

syslog超难问题

syslog超难问题

syslog超难问题

syslog超难问题

syslog超难问题

syslog超难问题

syslog超难问题

syslog超难问题