Назад | Перейти на главную страницу

Системный журнал Ubuntu 14.04

Я установил сервер Ubuntu 14.04 (с сервера Ubuntu 12.04), но сегодня я хотел посмотреть в auth.log но этот файл не используется. Похоже, что «системный журнал» удалили.

Как ведется журнал Ubuntu 14.04? Мне это нужно для сервера.

Спасибо.

14.04 использует rsyslog. Когда я обновился с 12.04 до 14.04, мне пришлось сменить владельца файлов журнала в /var/log из root к syslog.

/etc/rsyslog.conf владелец определяется как

$FileOwner syslog
$FileGroup adm

)

Вам также следует взглянуть на /etc/rsyslog.d/50-default.conf где определяется, какие события в какие файлы записываются. Также есть строка для /var/log/syslog. Может быть, это закомментировано.

Я только что выполнил новую установку Ubuntu 14.04 с официального сервера.

Был установлен Rsyslog, и auth.log допустимый файл журнала с конфигурацией по умолчанию. Настраивается файлом /etc/rsyslog.d/50-default.conf

Если у вас нет auth.log, я должен предположить, что вы выполнили одно из следующих действий:

  • изменил конфигурацию
  • использовал демон syslog, отличный от rsyslog
  • использовал установщик Ubuntu, который устанавливал разные значения по умолчанию.

Не зная точно, какой демон syslog вы используете, трудно сказать.

Если вы используете rsyslog, взгляните на свой /etc/rsyslog.conf, и любые файлы в /etc/rsyslog.d. Посмотрите, куда записываются сообщения auth, authpriv. *.

Если вы найдете подобное сообщение в /var/log/syslog:

Dec 29 19:27:32 host rsyslogd-2039: 
Could no open output pipe '/dev/xconsole': 
No such file or directory [try http://www.rsyslog.com/e/2039 ]

тогда это виноват. Это происходит потому, что версия по умолчанию /etc/rsyslog.d/50-default.conf в Ubuntu 14.04.1 LTS (или, по крайней мере, в более ранней версии и в обновлениях) ожидает, что вы будете использовать /dev/xconsole для мониторинга ошибок, но это просто недоступно в средах безголовых серверов.

Чтобы исправить это, отключите соответствующий раздел в /etc/rsyslog.d/50-default.conf, делая это так:

# daemon.*;mail.*;\
#        news.err;\
#        *.=debug;*.=info;\
#        *.=notice;*.=warn       |/dev/xconsole

Затем перезапустите rsyslog (sudo service rsyslog restart) и файлы журналов теперь должны работать.

Источник: этот ответ на вопрос AskUbuntu SE "Отсутствие / dev / xconsole приводит к остановке rsyslog, а также всех других служб".

Я столкнулся с этой проблемой при установке нового Ubuntu 14.04 и включении fail2ban для ssh логинов.

Ubuntu 14.04 использует rsyslog с пользователем по умолчанию syslog и группа adm. Однако /var/log каталог имеет разрешения root:root 0755, что означает, что rsyslog не может создать новый файл журнала в каталоге, например /var/log/auth.log файл.

Есть несколько способов решить эту проблему.

Делать /var/log/ возможность записи для всех пользователей

sudo chmod 0777 /var/log

Сменить владельца / группу /var/log

sudo chown syslog:adm /var/log
sudo chmod 0775 /var/log

Touch /var/log/auth.log и измените его владельца / группу на syslog:adm

sudo touch /var/log/auth.log
sudo chown syslog:syslog /var/log/auth.log

Сменить пользователя / группу rsyslog работает как (обескураженный)

editor /etc/rsyslog.conf
$FileOwner root
$FileGroup root