Almalinux 8.5 - 로그 파일(보안, 메시지, cron 등)이 채워지지 않았거나 비어 있습니까?

Almalinux 8.5 - 로그 파일(보안, 메시지, cron 등)이 채워지지 않았거나 비어 있습니까?

Almalinux 8.5 rsyslog버전 8.2102.0-5.el8을 실행합니다. 몇 주 전부터 모든 시스템 로그(,,, secure...)에 0바이트 값이 표시되기 시작했습니다. 그 결과 그들은 저널로부터 소식을 듣지 못하게 되었습니다. 프로그램별 로그(예: Apache)가 제대로 작동합니다.messagescron

지금까지 둘 다 시작/다시 시작했으며 rsyslogsystemd-journald다 실행 중인 것으로 확인되었습니다. 스핀 로그 - 아무것도 없습니다. 권한 문제인지 확인해보세요.

하지만:ls -ld /var/log

drwxr-xr-x 9 root root 4096 Nov 28 02:42 /var/log

또한 다음을 실행했습니다.ls -l /var/log

total 30076
-rw-r--r--  1 root     root               57930 Oct  1 11:16 almalinux-deploy.debug.log
-rw-r--r--  1 root     root              340552 Oct  1 11:16 almalinux-deploy.log
-rw-rw----  1 root     utmp            11740416 Nov 30 15:32 btmp
-rw-rw----  1 root     utmp                1536 Oct  6 22:55 btmp-20211101
-rw-------  1 root     root                   0 Nov 28 02:42 cron
-rw-------  1 root     root              856453 Nov  7 02:42 cron-20211107
-rw-------  1 root     root               56894 Nov  7 14:03 cron-20211114
-rw-------  1 root     root                   0 Nov 14 02:42 cron-20211121
-rw-------  1 root     root              158412 Nov 27 09:39 cron-20211128
-rw-r--r--  1 root     root              619845 Nov 30 15:38 dnf.librepo.log
-rw-r--r--  1 root     root              409954 Nov 30 15:38 dnf.log
-rw-r--r--  1 root     root             1048575 Nov 18 01:53 dnf.log.1
-rw-r--r--  1 root     root              168211 Nov 30 15:38 dnf.rpm.log
-rw-------  1 root     root                   0 Nov 17 02:42 dovecot-lmtp-errors.log
-rw-------  1 root     root                4240 Oct  7 15:29 dovecot-lmtp-errors.log-20211009
-rw-------  1 root     root                1424 Oct 21 23:41 dovecot-lmtp-errors.log-20211022
-rw-------  1 root     root                1424 Oct 27 18:02 dovecot-lmtp-errors.log-20211029
-rw-------  1 root     root                1232 Nov  9 10:05 dovecot-lmtp-errors.log-20211110
-rw-------  1 root     root                  85 Nov 16 18:57 dovecot-lmtp-errors.log-20211117
-rw-------  1 root     root                   0 Nov  9 10:03 dovecot-lmtp.log
drwx------  2 mail     mail                4096 Nov 28 02:42 exim
-rw-r-----  1 root     root                 186 Oct  1 11:08 firewalld
-rw-r--r--  1 root     root                1980 Nov 30 15:38 hawkey.log
-rw-r--r--  1 root     root                 960 Nov  6 06:38 hawkey.log-20211107
-rw-r--r--  1 root     root                3420 Nov 13 23:56 hawkey.log-20211114
-rw-r--r--  1 root     root                3960 Nov 21 02:39 hawkey.log-20211121
-rw-r--r--  1 root     root                3060 Nov 28 00:31 hawkey.log-20211128
drwx--x---  3 apache   root                4096 Nov 30 00:10 httpd
drwxr-sr-x+ 3 root     systemd-journal     4096 Oct  1 11:07 journal
-rw-rw-r--  1 root     utmp              292584 Nov 30 16:00 lastlog
-rw-------  1 root     root               77008 Nov 30 16:16 lfd.log
-rw-------  1 root     root                7480 Nov 28 02:40 lfd.log-20211128.gz
-rw-------  1 root     root                   0 Nov 28 02:42 maillog
-rw-------  1 root     root               94207 Nov  7 01:39 maillog-20211107
-rw-------  1 root     root                7274 Nov  7 14:03 maillog-20211114
-rw-------  1 root     root                   0 Nov 14 02:42 maillog-20211121
-rw-------  1 root     root               10025 Nov 27 09:39 maillog-20211128
-rw-------  1 root     root                 273 Nov 30 15:19 messages
-rw-------  1 root     root            11607290 Nov  7 02:42 messages-20211107
-rw-------  1 root     root              805384 Nov  7 14:03 messages-20211114
-rw-------  1 root     root                   0 Nov 14 02:42 messages-20211121
-rw-------  1 root     root             2458409 Nov 27 09:39 messages-20211128
lrwxrwxrwx  1 root     root                  36 Oct  1 11:53 php-fpm74.log -> /usr/local/php74/var/log/php-fpm.log
lrwxrwxrwx  1 root     root                  36 Oct  1 14:25 php-fpm80.log -> /usr/local/php80/var/log/php-fpm.log
drwx------  2 root     root                4096 Jan 19  2021 private
-rw-------  1 root     root                   0 Nov 10 01:22 pureftpd.log
drwx------  3 root     root                4096 Oct  9 16:51 samba
-rw-------  1 root     root                   0 Nov 28 02:42 secure
-rw-------  1 root     root                5895 Nov  6 04:23 secure-20211107
-rw-------  1 root     root                  67 Nov  7 14:03 secure-20211114
-rw-------  1 root     root                   0 Nov 14 02:42 secure-20211121
-rw-------  1 root     root               12178 Nov 27 09:39 secure-20211128
-rw-------  1 root     root                   0 Nov 28 02:42 spooler
-rw-------  1 root     root                   0 Oct 31 02:42 spooler-20211107
-rw-------  1 root     root                   0 Nov  7 02:42 spooler-20211114
-rw-------  1 root     root                   0 Nov 14 02:42 spooler-20211121
-rw-------  1 root     root                   0 Nov 21 02:42 spooler-20211128
drwx--x--x  2 root     root                4096 Nov 30 00:10 user_logs
-rw-rw-r--  1 root     utmp               71808 Nov 30 16:00 wtmp

rsyslog에는 별도의 사용자가 없으며 모든 것이 루트에서 실행되므로 문제가 되지 않습니다. 또한 imjournal.state파일을 삭제하고 로그 서비스를 다시 시작해 보았습니다. 10월 초에 이 서버를 재구축하면서 많은 메시지를 받았습니다. Journalctl은 실패한 SSH 로그인 등을 포함한 최근 항목을 표시하므로 저널링 서비스가 종료되지 않았습니다. 일종의 연결 끊김이 발생하고 있습니다.

rsyslog.conf참조용 내 파일 내용 :

#### MODULES ####

module(load="imuxsock"    # provides support for local system logging (e.g. via logger command)
       SysSock.Use="off") # Turn off message reception via local log socket; 
              # local messages are retrieved through imjournal now.
module(load="imjournal"         # provides access to the systemd journal
       StateFile="imjournal.state") # File to store the position in the journal
#module(load="imklog") # reads kernel messages (the same are read from journald)
#module(load="immark") # provides --MARK-- message capability

# Provides UDP syslog reception
# for parameters see http://www.rsyslog.com/doc/imudp.html
#module(load="imudp") # needs to be done just once
#input(type="imudp" port="514")

# Provides TCP syslog reception
# for parameters see http://www.rsyslog.com/doc/imtcp.html
#module(load="imtcp") # needs to be done just once
#input(type="imtcp" port="514")

#### GLOBAL DIRECTIVES ####

# Where to place auxiliary files
global(workDirectory="/var/lib/rsyslog")

# Use default timestamp format
module(load="builtin:omfile" Template="RSYSLOG_TraditionalFileFormat")

# Include all config files in /etc/rsyslog.d/
include(file="/etc/rsyslog.d/*.conf" mode="optional")

#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

나는 이것이 분명히 간과되고 있다고 확신합니다. 어떤 아이디어가 있나요?

답변1

내 홈 서버에서도 같은 상황이 발생하고 있습니다.

가능한 해결책을 찾았습니다더 이상 시스템 로그에 쓰지 않으며 더 이상 파일이 생성되지 않습니다.:

systemctl restart systemd-journald.socket
systemctl restart systemd-journald
systemctl restart rsyslog

이것은 지금까지 나를 위해 일하는 것 같습니다. 기사의 일부에서는 stat /dev/log존재를 보장하기 위한 조치를 취할 것을 권장합니다. 이것은 나에게 효과적이었지만 어쨌든 위의 내용을 실행했고 이제 로깅이 이루어졌습니다.

답변2

내 로그(메일, 메시지 등)도 비어 있습니다. rsyslogd를 시작할 수 없습니다. selinux의 문제인 것으로 밝혀졌습니다. 다음이 도움이 될 수 있습니다. 테스트부터 시작하세요:

logger -p mail.info "testing maillog"

처음에는 작동 maillog하지 않았습니다.

getenforce   # -> Enforcing
setenforce 0
getenforce   # -> Permissive
logger -p mail.info "testing maillog"  # works now
setenforce 1
getenforce   # -> Enforcing

다른 컴퓨터에는 AlmaLinux 8을 최소화하여 설치했습니다. 너무 작아서 rsyslog가 설치되지 않습니다. /etc/systemd/system/syslog.service에서 rsyslog까지 의 심볼릭 링크가 있습니다 /usr. rsyslog가 존재하지 않기 때문에 링크가 끊어졌습니다. 나는 말해야한다

dnf install rsyslog
systemctl enable rsyslog --now

관련 정보