CentOS 6.3, iptables, rsyslog, nincs log

Red Hat, Fedora, CentOS

Telepítettem egy CentOS 6.3-at, amin alapból rsyslog van, mellé iptables tűzfalat csináltam. A tűzfalban felvettem egy LOG részt, hogy lássam miket szűr ki. Az rsyslog-ba belepakoltam egy oldal ajánlása alapján, hogy külön állományba pakolja a logokat (kern.=debug /var/log/iptables, iptables loglevel debug-on).

Ami érdekes. Alapból a logba, ráadásul semelyikbe, nem kerülnek bele a bejegyzések, viszont ha kiadok egy 'service rsyslog restart' parancsot, akkor hozzáírja az általam megadott loghoz a LOG bejegyzéseket. Tehát, mivel így kerül valami a logba, a tűzfal LOG szabály megy, az rsyslog jó, mivel odakerülnek a bejegyzések, csak valamiért nem folyamatosan írja a logba, hanem csak restartra (illetve gondolom rsyslog leállás esetén).

Valami ötlet van erre miért így teszi? Én azt szeretném, hogy folyamatosan írja, vagy legalábbis záros határidőn belül. Találtam pár megoldást más log programmal (syslog-ng), de én nem szeretnék mást feltelepíteni.

  • 6350 megtekintés

( locsemege v | 2012. 09. 06., cs – 10:45 )

Nem értek hozzá, de nem lehet, hogy egy 4 kiB-os pipe bufferben van átmenetileg az adat, s ha ez megtelik, csak akkor kerül fizikailag file-ba? Ha meg restartolod a szolgáltatást, lezárja a file-t, s nyilván előbb flush-öli a buffert.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( gee v | 2012. 09. 06., cs – 11:02 )

Úgy rémlik, valamikor nagyon régen találkoztam hasonló jelenséggel, mondjuk másik syslog implementációval.

Nálam a syslog.conf-ban volt beállítva valami olyasmi, hogy aszinkron logoljon, vagy buffereljen, vagy valami és így nem azonnal írta ki a log bejegyzéseket, csak akkor, ha lezártam, vagy ha eléggé sok bejegyzés volt.

Szóval a konfigot nézd át, szerintem és a man-t.

( artifex | 2012. 09. 06., cs – 15:31 )

Köszi a tippeket, megnézem. Amikor újraindítottam és még nem "kapcsoltam ki" a 137:138 UDP logolást, kábé 300 KB-os logot csinált, ami értelmetlenül nagy buffert jelentene szerintem. De jó ötlet, megnézem, köszönöm.

"Belépés díjtalan, kilépés bizonytalan."

( artifex | 2012. 09. 08., szo – 08:30 )

Megnéztem és nem találtam semmi ilyen opciót. De végiggondolva, azt sem hinném igazán, hogy be lenne ilyen kapcsolva, mert minden más log teljesen rendben, "real-time" működik. Tehát valamiért itt van a probléma és a probléma úgy tűnik továbbra is fennáll. Ha iptables + rsyslog kombóval van konkrét tapasztalat hogyan megy, akkor az is érdekel.

"Belépés díjtalan, kilépés bizonytalan."