Login Logout

Howto Rsyslog

Rsyslog est le démon Syslog par défaut sous Debian. Le protocole Syslog permet de gérer la journalisation : les messages sont envoyés par diverses applications (messages kernel, user, daemon, mail, etc.) triés par facility (LOG_KERN, LOG_CRON, LOG_DAEMON, LOG_MAIL, LOG_AUTH, etc.) et avec un niveau de severity (LOG_EMERG, LOG_ALERT, LOG_ERR, LOG_WARNING, etc.) ; ils sont reçus par un démon qui les répartit dans différents fichiers situés dans le répertoire /var/log/ ou par d’autres façons (serveur syslog distant, terminal, etc.)

Installation

Le paquet rsyslog tourne normalement déjà :

# systemctl status rsyslog
● rsyslog.service - System Logging Service
   Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
     Docs: man:rsyslogd(8)
           http://www.rsyslog.com/doc/
 Main PID: 2815 (rsyslogd)
    Tasks: 4
   Memory: 2.9M
      CPU: 1.604s
   CGroup: /system.slice/rsyslog.service
           └─2815 /usr/sbin/rsyslogd -n

# rsyslogd -v
rsyslogd 8.16.0, compiled with:
        PLATFORM:                               x86_64-pc-linux-gnu
        PLATFORM (lsb_release -d):
        FEATURE_REGEXP:                         Yes
        GSSAPI Kerberos 5 support:              Yes
        FEATURE_DEBUG (debug build, slow code): No
        32bit Atomic operations supported:      Yes
        64bit Atomic operations supported:      Yes
        memory allocator:                       system default
        Runtime Instrumentation (slow code):    No
        uuid support:                           Yes
        Number of Bits in RainerScript integers: 64

Configuration

Le fichier de configuration principal est /etc/rsyslog.conf :

module(load="imuxsock")
module(load="imklog")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$WorkDirectory /var/spool/rsyslog
$IncludeConfig /etc/rsyslog.d/*.conf

auth,authpriv.*         /var/log/auth.log
*.*;auth,authpriv.none      -/var/log/syslog
#cron.*             /var/log/cron.log
daemon.*            -/var/log/daemon.log
kern.*              -/var/log/kern.log
lpr.*               -/var/log/lpr.log
mail.*              -/var/log/mail.log
user.*              -/var/log/user.log

mail.info           -/var/log/mail.info
mail.warn           -/var/log/mail.warn
mail.err            /var/log/mail.err

*.=debug;\
    auth,authpriv.none;\
    news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;\
    auth,authpriv.none;\
    cron,daemon.none;\
    mail,news.none      -/var/log/messages
*.emerg             :omusrmsg:*

Note : Pour Debian 7 et 8, la syntaxe pour charger les modules était différente :

$ModLoad imuxsock
$ModLoad imklog

Les journaux principaux sont :

  • auth.log : authentification système (login, su, getty)
  • daemon.log : relatif aux daemons
  • mail.* : relatifs aux mails
  • kern.log : générés par le noyau
  • user.log : générés par des programmes utilisateur
  • debug : messages de debug
  • messages : messages d’infos
  • syslog : tous les messages (sauf exceptions définies)

Nous conseillons d’ajouter ces paramètres :

  • activer cron.log
  • supprimer mail.info, mail.warn et mail.err
  • réduire les infos en double envoyées à /var/log/syslog
  • créer des entrées pour les services standard

À la suite du fichier de configuration nous pouvons ajouter :

*.*;auth,authpriv.none;cron,mail,local4,local5,local7.none -/var/log/syslog
cron.*             /var/log/cron.log
#mail.info         -/var/log/mail.info
#mail.warn         -/var/log/mail.warn
#mail.err          /var/log/mail.err
local0.*           /var/log/postgresql.log
local1.*           /var/log/sympa.log
local4.*           -/var/log/openldap.log
local5.*           -/var/log/haproxy.log
local7.*           -/var/log/dhcp.log

Configuration avancée

Rsyslog supporte une configuration plus avancée, notamment avec des notions d’input, filtre et output.

Input

http://www.rsyslog.com/doc/v8-stable/configuration/modules/idx_input.html

Exemple avec l’input Text File qui permet à Rsyslog d’avaler des logs à partir d’un fichier, et par exemple de les renvoyer vers un serveur Syslog distant (Rsyslog ou Logstash) :

$InputFileName /home/log/foo.log
$InputFileTag foo:
$InputFileStateFile foo
$InputFileSeverity info
$InputFileFacility local0
$InputRunFileMonitor

local0.* @192.0.2.42

Filtre

http://www.rsyslog.com/doc/v8-stable/configuration/filters.html

Voici un exemple de filtre sur $programname (ce qui pratique car le protocole Syslog a un nombre limité de facility personnalisables : local0, local1 … jusqu’à local9) :

if $programname startswith 'haproxy' then /var/log/haproxy.log

Ignorer certains messages

Créer un fichier de configuration dédié, par exemple /etc/rsyslog.d/01-ignore-xyz.conf, avec les permissions adaptées (644) et y ajouter :

Pour ignorer les logs émis par un programme, bundle dans cet exemple :

:programname, isequal, "bundle" ~

Le ~ ordonne à rsyslog de s’arrêter à ce point.

Pour ignorer une chaîne de caractères :

:msg, contains, "message_to_ignore" ~

Pour ignorer un message provenant de pam_unix, il vaut mieux configurer PAM en amont : HowtoPAM.

Pour ignorer une chaîne de caractères dans un fichier de log spécifique :

:msg, contains, "message_to_ignore" ~
*.* /var/log/auth.log

Attention :

  • Il y a un ordre dans les règles.
  • Les règles mal définies peuvent passer inaperçues, testez bien si vos règles s’appliquent comme vous le souhaitez.

Administration

Rotation automatique des logs

On peut écrire des noms de fichier avec des variables comme la date par exemple. Cela permet notamment de gérer une rotation automatique (sans compression). En général on fait cela en définissant un template, que l’on utilise avec ?template :

$template DailyPerHostLogs,"/var/log/local2-%$YEAR%-%$MONTH%-%$DAY%.log"

local2.* ?DailyPerHostLogs

Activation en réseau

Nous pouvons activer Rsyslog en écoute sur le réseau (port UDP/514) ainsi :

module(load="imudp")
input(type="imudp" port="514")

Note Pour Debian 7 et 8, il fallait faire :

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

Il est ainsi possible d’envoyer des logs à un serveur Rsyslog (ou Logstash !) via le réseau en spécifiant :

*.* @192.0.2.42
local0.* @192.0.2.42

Si le serveur de logs distant écoute en TCP, il faut rajouter un @ pour indiquer qu’on veux établir la connexion en TCP, comme ceci :

*.* @@192.0.2.42
local0.* @@192.0.2.42

FAQ

Stopper rsyslog

# systemctl stop syslog.socket

Mode debug

Pour lancer rsyslog en ligne de commande en mode debug :

# rsyslogd -d -n

logger

Pour envoyer des informations à Syslog en ligne de commande on peut utiliser logger :

$ logger test
$ logger -p local0.notice test

format de configuration RainerScript

Rsyslog utilise le nouveau format RainerScript pour sa configuration. Pour rester avec le format de configuration « legacy » on utilise :

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat