Das rsyslogd Paket

Einleitung

Der rsyslogd Server kann den Standard syslog Server ersetzen.

RSYSLOGD ist ein ausgezeichnetes System, um Logs zu verarbeiten.

Es bietet hohe Performance, hohe Sicherheit und ein modulares Design. Rsyslog ist in der Lage eine ganze Reihe von Eingabeformen zu empfangen, sie zu transformieren und das Ergebnis flexibel auf eine Reihe von Zielen zu verteilen.

Zitat von der rsyslogd Webseite (übersetzt):
RSYSLOGD kann über eine Millionen Meldungen pro Sekunde auf lokale Ziele ausgeben, wenn nur begrenzte Verarbeitungen angewandt werden (basierend auf Version 7, Dezember 2013). Sogar mit nicht lokalen Zielen und ausgefeilteren Verarbeitungen ist die Performance 'atemberaubend'.

Die komplette Dokumentation ist unter RSYSLOGD verfügbar.

Vorbemerkung

Bei den verschiedenen Beschreibungen zum Thema Logging werden die Begriffe Priority und auch Severity benutzt. RFC5427 definiert Severity. In dieser Dokumentation und im gesamten rsyslogd Paket werden die beiden Begriffe synonym genutzt.

Voraussetzungen

Dieses Paket benötigt folgende weitere Pakete libgcrypt, libestr, libfastjason und librelp. Es ist auch abhängig davon, dass eine aktuelle Version des Basissystems installiert ist.

Installation

Das rsyslogd Paket wird über das Setup-Menue im Untermenue 'Package administration' installiert.

Das rsyslogd Paket kann nicht parallel zum syslog Server aus der Base Konfiguration aktiv genutzt werden. D.h. der syslog Server aus der Base Konfiguration muss ausgeschaltet werden.

Dies geschieht über die Konfiguration 'Edit base configuration' und
Setzen von START_SYSLOGD='no'.

Danach kann über das Menue 'Create configuration using syslog(base)' die Konfiguration aus der Base Konfiguration übernommen werden.

Erst jetzt kann über START_RSYSLOGD='yes' der rsyslogd Server genutzt werden.

Ein automatisches Umschalten, z.B. durch das Installationsskript, ohne manuellen Eingriff in die Base Konfiguration ist derzeit nicht vorgesehen.

Das Menue im Setup-Program

Das rsyslogd Menue ist über den Menuepunkt 'Service administration' des Hauptmenues im zentralen Setup-Programm zu erreichen.
Auswahl: 'rsyslogd daemon'
Das Menue ist wie folgt aufgebaut:

1 View documentation

2 View changes

3 Edit configuration

4 Advanced configuration file handling

5 Start rsyslogd

6 Stop rsyslogd

7 Restart rsyslogd

8 Reload rsyslogd configuration

9 Show rsyslogd status

10 Test rsyslogd configuration

11 Force start of rsyslogd

12 Logfile view

1 View messages

2 View older messages

3 View log.eis-install

4 View older log.eis-install

0 Return

12 rsyslogd tools

1 Create configuration using syslog(base)

2 Create logging database

3 Grant full rights on logging database to a user

4 Grant read rights on logging database to a user

5 Drop logging database

6 Alter logging database for LogAnalyzer

7 Manual logfile rotate

8 Test log messages

9 Analyze log rules

10 List nftables filter table

11 List allowed sender

12 Test DBPurge expert configurations

0 Return

0 Return

Das 'Logfile view' Untermenue kann je nach Konfiguration anders aussehen.

Die meisten Menuepunkte dürften ohne weitere Erläuterung verständlich sein, da sie keinerlei weitere Eingaben erwarten, sondern nur den Status des Servers/Daemons abfragen und auf Wunsch ändern. Die Standard-Menuepunkte 1, 2 und 3 arbeiten wie bei allen anderen Eisfair-1 Paketen.

Die weiteren Menuepunkte sind unten beschrieben.

Aenderung der Konfiguration

Die Konfiguration kann über den Menuepunkt 'Edit Configuration' geändert werden. Standardmäßig wird dabei der Editor genutzt, der über den Menuepunkt 'Set eisfair configuration editor' in der 'Base configuration' eingestellt ist.

Nachdem der Editor beendet wurde wird die Konfiguration mit dem eischk-Programm automatisch auf syntaktische und teilweise auch auf semantische Fehler geprüft. Werden Fehler festgestellt, so werden diese gemeldet und der Benutzer zur Korrektur aufgefordert. Wird eine solche Korrektur nicht durchgeführt, so kann es zu unvorhersehbaren Fehlfunktionen bei dem Dienst kommen.

Es wird zusätzlich gefragt, ob die Konfiguration angewendet (aktiviert) werden soll. Wird dieses verneint, so unterbleibt die Aktivierung.

ACHTUNG
Beim nächsten Boot-Vorgang kann es in diesem Fall zu unvorhersehbaren Fehlern kommen.

Wird die Aktivierung bestätigt, werden über ein Skript die durchgeführten Änderungen wirksam gemacht. Dazu wird der rsyslogd gestoppt und neu gestartet.

Die Konfigurationsdatei

Die Konfigurationsdatei (/etc/config.d/rsyslogd) enthält in einer Reihe von Abschnitten die Parameter, die den Dienst parametrisieren bzw. festlegen, ob der Dienst überhaupt zur Verfügung gestellt wird oder nicht.

rsyslogd syslog server (general settings)

START_RSYSLOGD

Legt fest, ob der rsyslogd-Server gestartet wird. Es dürfen nicht mehrere syslog Server gestartet sein. Um den rsyslogd-Server starten zu können, muss der syslog-Server aus der Base Konfiguration zunächst gestoppt werden.

Gültige Werte: yes, no

Standardeinstellung: START_RSYSLOGD='no'

rsyslogd syslog server (configuration settings)

RSYSLOGD_CONFIGURATION

Art der Konfiguration bzw. Art der Generierung der Konfiguration. Derzeit sind nur 'manual' und ” erlaubt.

Wird RSYSLOGD_CONFIGURATION='manual' gesetzt, so ist der Anwender für die Konfiguration verantwortlich, es wird keine Konfiguration generiert.

Gültige Werte: 'manual', ”

Standardeinstellung: RSYSLOGD_CONFIGURATION=”

RSYSLOGD_DEFAULT_LINE_TEMPLATE

Default Format der Zeilen im Log. Dieses Format wird genutzt, wenn bei den Formatvorgaben RSYSLOGD_RULE_x_LINE_TEMPLATE der Wert 'Default' steht.

Gültige Werte: DebugFormat,FileFormat,ForwardFormat,SysklogdFileFormat,
SyslogProtocol23Format,TraditionalFileFormat,
TraditionalForwardFormat,TraditionalFormatWithPRI

Standardeinstellung: RSYSLOGD_DEFAULT_LINE_TEMPLATE='TraditionalFileFormat'

RSYSLOGD_LOG_FQDN

Sollen Fully Qualified Domain Names (z.B. eismini.ap.de) im Log erscheinen, oder nur Hostnamen (z.B. eismini).

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_LOG_FQDN='no'

RSYSLOGD_INTERNAL_MESSAGES

Sollen rsyslogd interne Meldungen ausgegeben werden. Solche Meldungen sind z.B. Start- und Stopmeldungen des rsyslogd selbst.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_INTERNAL_MESSAGES='yes'

RSYSLOGD_MSG_REDUCTION

Legt fest, ob sich wiederholende Meldungen gekürzt werden sollen. Wird diese Konfigurationsvariable auf 'yes' gesetzt, so werden aufeinander folgende, gleiche Meldungen zusammengefasst und als
'message repeated x times: [msg]'
ausgegeben.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_MSG_REDUCTION='no'

RSYSLOGD_CONFIG_FILE

Absoluter Pfadname der Konfigurationsdatei.

Ist RSYSLOGD_CONFIG_FILE leer, so wird die Variable auf '/etc/rsyslog.conf' gesetzt.

Standardeinstellung: RSYSLOGD_CONFIG_FILE='/etc/rsyslog.conf'

RSYSLOGD_CONFIG_DIR

Absoluter Pfad der Konfigurationsdateien. Wenn RSYSLOGD_CONFIG_DIR gesetzt ist, so zeigt RSYSLOGD_CONFIG_FILE auf RSYSLOGD_CONFIG_DIR durch Nutzung der $IncludeConfig Konfigurations Direktive.

Im Verzeichnis aus RSYSLOGD_CONFIG_DIR werden derzeit bis zu vier Dateien erzeugt:

10_rsyslogd.conf Allgemeine Konfigurationsteile

15_rsyslogd.conf Konfiguration der 'Global Discard Filter'

Konfiguration der 'Filter Rules'

20_rsyslogd.conf Konfiguration der 'Rule Settings'

25_rsyslogd.conf Konfiguration der 'File Input Definitions'

Datei 15_rsyslogd.conf existiert nur wenn RSYSLOGD_GLOBAL_DISCARD_FILTER='yes' oder RSYSLOGD_FILTER='yes' gesetzt sind. Datei 25_rsyslogd.conf wird nur erzeugt, wenn RSYSLOGD_FILE_INPUT='yes' gesetzt ist.

Da der rsyslogd die Dateien im Verzeichnis RSYSLOGD_CONFIG_DIR in alphabetischer Reihenfolge abarbeitet können manuell zusätzliche Konfigurationsteile ergänzt werden. Dies sollten nur erfahrene Anwender tun. Dabei ist zu beachten, dass einige Konfigurationselemente überschrieben (neu gesetzt) werden können, andere aber nur einmalig vorkommen dürfen.

Wird RSYSLOGD_CONFIG_DIR=” gesetzt, so wird die gesamte Konfiguration in die Datei aus RSYSLOGD_CONFIG_FILE geschrieben.

Standardeinstellung: RSYSLOGD_CONFIG_DIR='/etc/rsyslog.d'

RSYSLOGD_MARK_INTERVAL

Rsyslogd mark intervall in Sekunden. RSYSLOGD_MARK_INTERVAL='0' schaltet die Ausgabe der mark Zeile aus. Die mark Zeile enthält nur Datum und Uhrzeit sowie den Servernamen und die Zeichenfolge '--MARK--'.

Achtung: Angabe in Sekunden!
Der syslogd aus Base nutzt hier Angaben in Minuten.

Standardeinstellung: RSYSLOGD_MARK_INTERVAL='600'

RSYSLOGD_OPTIONS

Zusätzliche Kommandozeilenargumente. Diese Option kann z.B. zum Debuggen des rsyslogd benutzt werden und sollte nur von erfahrenen Anwendern genutzt werden.

Standardeinstellung: RSYSLOGD_OPTIONS=”

rsyslogd syslog server (global discard filter)

RSYSLOGD_GLOBAL_DISCARD_FILTER

Legt fest ob sog. 'Global Discard Filter' genutzt werden sollen.
Mittels 'global discard filter' können Meldungen über entsprechende Filterregeln verworfen werden. Dies kann dazu dienen überflüssige Meldungen auszufiltern um die Größe der Logfile zu minimieren.

Siehe Kapitel 'Global Discard Filter'

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_GLOBAL_DISCARD_FILTER='no'

RSYSLOGD_GLOBAL_DISCARD_FILTER_DEBUG

Soll die Debug Hilfe für 'Global Discard Filter' eingeschaltet werden, 'yes' oder 'no'. Wird die Debug Hilfe eingeschaltet, so werden alle Meldungen VOR der Nutzung der Filter in die Datei /var/log/before_filter geschrieben und alle Meldungen NACH der Nutzung der Filter in die Datei /var/log/after_filter geschrieben.

Unter Nutzung des Befehls
diff -y -W 200 /var/log/before_filter /var/log/after_filter
kann dann kontrolliert werden, ob die Filter korrekt arbeiten und nicht zu viele Meldungen ausgefiltert werden.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_GLOBAL_DISCARD_FILTER_DEBUG='no'

RSYSLOGD_GLOBAL_DISCARD_FILTER_N

Anzahl der Filterdefinitionen.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_GLOBAL_DISCARD_FILTER_N='0'

RSYSLOGD_GLOBAL_DISCARD_FILTER_x_NAME

Name bzw. Beschreibung des Filters.

Standardeinstellung: RSYSLOGD_GLOBAL_DISCARD_FILTER_x_NAME=”

RSYSLOGD_GLOBAL_DISCARD_FILTER_x_ACTIVE

Legt fest, ob der Filter aktiv ist.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_GLOBAL_DISCARD_FILTER_x_ACTIVE='yes'

RSYSLOGD_GLOBAL_DISCARD_FILTER_x_PROPERTY

Eigenschaft der Meldungen, die beim Filter genutzt werden soll.

msg Meldungs Teil

hostname Hostname wie www.ap.de

fromhost Sendender Host, bei Meldungen von einem

anderen Host

fromhost-ip IP des sendenden Hosts, bei Meldungen von

einem anderen Host

syslogtag Tag wie sshd[2169] xinetd[1493]

programname Programm name wie sshd xinetd

Standardeinstellung: RSYSLOGD_GLOBAL_DISCARD_FILTER_x_PROPERTY='msg'

RSYSLOGD_GLOBAL_DISCARD_FILTER_x_OPERATION

Anzuwendende Operation (Suchfunktion).

contains ist enthalten mit exakter Übereinstimmung

isequal ist gleich mit exakter Übereinstimmung

startswith beginnt mit exakter Übereinstimmung

regex POSIX BRE regulärer Ausdruck

ereregex POSIX ERE regulärer Ausdruck

!contains Negation von contains

!isequal Negation von isequal

!startswith Negation von startswith

!regex Negation von regex

!ereregex Negation von ereregex

Vorsicht bei der Anwendung von Negationen. Hier können höchst unerwünschte Ergebnisse erzielt werden.

Standardeinstellung: RSYSLOGD_GLOBAL_DISCARD_FILTER_x_OPERATION='contains'

RSYSLOGD_GLOBAL_DISCARD_FILTER_x_VALUE

Suchstring für den Filter.

Standardeinstellung: RSYSLOGD_GLOBAL_DISCARD_FILTER_x_VALUE=”

rsyslogd syslog server (filter rules)

RSYSLOGD_FILTER

Legt fest ob sog. 'Filter Rules' genutzt werden sollen.
Mittels 'filter rules' können Meldungen über entsprechende Filterregeln direkt in einzelne Logdateien protokolliert werden. Dies kann dazu dienen Meldungen z.B. zu einem bestimmten Programm oder aber von einem bestimmten Host direkt in eine Logdatei zu schreiben.

Siehe Kapitel 'Filter Rules'

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_FILTER='no'

RSYSLOGD_FILTER_N

Anzahl der Filterdefinitionen.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_FILTER_N='0'

RSYSLOGD_FILTER_x_NAME

Name bzw. Beschreibung des Filters.

Standardeinstellung: RSYSLOGD_FILTER_x_NAME=”

RSYSLOGD_FILTER_x_ACTIVE

Legt fest, ob der Filter aktiv ist.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_FILTER_x_ACTIVE='yes'

RSYSLOGD_FILTER_x_LOGFILE

Absoluter Pfadname der zu nutzenden Logdatei.

Gültige Werte: absoluter Pfad

Standardeinstellung: RSYSLOGD_FILTER_x_LOGFILE='/var/log/filter.log'

RSYSLOGD_FILTER_x_LINE_TEMPLATE

Format der Zeilen in der Logdatei.

Gültige Werte: Default,MySQLInsert,DebugFormat,FileFormat,
ForwardFormat,SysklogdFileFormat,MySQLInsertProgname,
SyslogProtocol23Format,TraditionalFileFormat,
TraditionalForwardFormat,TraditionalFormatWithPRI

Wird RSYSLOGD_FILTER_x_LINE_TEMPLATE auf 'Default' gesetzt,
so wird RSYSLOGD_DEFAULT_LINE_TEMPLATE genutzt.

Standardeinstellung: RSYSLOGD_FILTER_x_LINE_TEMPLATE='Default'

RSYSLOGD_FILTER_x_STOP

Legt fest, ob die aktuelle Logzeile (message) nach dem Speichern in der Logdatei verworfen (discarded) werden soll. Wird die aktuelle Logzeile verworfen, so endet die Verarbeitung nach dem Speichern in der Logdatei. Wird die Zeile nicht verworfen, so wird sie an die nächste Regel weitergegeben.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_FILTER_x_STOP='yes'

RSYSLOGD_FILTER_x_PROPERTY

Eigenschaft der Meldungen, die beim Filter genutzt werden soll.

Standardeinstellung: RSYSLOGD_FILTER_x_PROPERTY='hostname'

RSYSLOGD_FILTER_x_OPERATION

Anzuwendende Operation.

== ist gleich

!= ist ungleich

<> ist ungleich

< ist kleiner

> ist größer

<= ist kleiner oder gleich

>= ist größer oder gleich

contains ist enthalten mit exakter Übereinstimmung

startswith beginnt mit exakter Übereinstimmung

Standardeinstellung: RSYSLOGD_FILTER_x_OPERATION

RSYSLOGD_FILTER_x_VALUE

Vergleichswert für die Filterregel.

Standardeinstellung: RSYSLOGD_FILTER_x_VALUE='myhostname'

rsyslogd syslog server (database settings)

RSYSLOGD_MYSQL_DB_USE

Legt fest, ob Datenbank Aktionen genutzt werden.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_MYSQL_DB_USE='no'

RSYSLOGD_MYSQL_DB_PACKAGE

MySQL/Maria DB Database Package, welches genutzt werden soll.
Z.B. mysql5173, mariadb55, mariadb100 oder Remote.
Remote: es gibt keine lokale Datenbank. Die Logmeldungen sollen in eine remote Datenbank geschrieben werden. Dazu wird das Package libmysql benötigt. Die remote Datenbank muss entsprechend vorbereitet und konfiguriert sein!

Standardeinstellung: RSYSLOGD_MYSQL_DB_PACKAGE=”

RSYSLOGD_MYSQL_DB_NAME

MySQL/Maria DB Database Name für Aktionen, die eine Datenbank nutzen. Diese Variable wird bei den Skripten im Menue 'rsyslogd tools' genutzt.

Achtung:
In der Regel selbst muss der Name als String eingegeben werden, dort wird NICHT der Inhalt RSYSLOGD_MYSQL_DB_NAME genutzt.

Standardeinstellung: RSYSLOGD_MYSQL_DB_NAME='Syslog'

RSYSLOGD_MYSQL_DB_REMOTE_PORT

Port, der für den Zugriff auf die remote Database genutzt werden soll. Wird kein Port angegeben, so wird der Standardport 3306 genutzt.

Gültige Werte: leer oder 1..65535

Standardeinstellung: RSYSLOGD_MYSQL_DB_REMOTE_PORT=”

rsyslogd syslog server (rule settings)

RSYSLOGD_RULE_N

Anzahl der Regeln.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_RULE_N='2'

RSYSLOGD_RULE_x_NAME

Name bzw. Beschreibung der Regel.

Gültige Werte: Text

Standardeinstellung: RSYSLOGD_RULE_x_NAME=”

RSYSLOGD_RULE_x_ACTIVE

Legt fest, ob die Regel aktiv ist.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_RULE_x_ACTIVE='yes'

RSYSLOGD_RULE_x_SELECTOR_N

Anzahl der Selektoren. Derzeit werden nur sog. Multiselektorlisten, die durch ein Semikolon (';') getrennt werden, unterstützt. Wenn Multiselektorlisten, die durch ein Komma (',') getrennt werden genutzt werden sollen, so muss dies über
RSYSLOGD_CONFIGURATION='manual' realisiert werden.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_RULE_x_SELECTOR_N='2'

RSYSLOGD_RULE_x_SELECTOR_x_NAME

Name bzw. Beschreibung des Selektors.

Gültige Werte: Text

Standardeinstellung: RSYSLOGD_RULE_x_SELECTOR_x_NAME=”

RSYSLOGD_RULE_x_SELECTOR_x_ACTIVE

Legt fest, ob der Selektor aktiv ist.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_RULE_x_SELECTOR_x_ACTIVE='yes'

RSYSLOGD_RULE_x_SELECTOR_x

Selektorfeld der Regel (z.B. kern.info oder mail.=info).

Gültige Werte: Selektor

Standardeinstellung: RSYSLOGD_RULE_x_SELECTOR_x='*.*'

RSYSLOGD_RULE_x_ACTION

Aktion für die Regel.

Regular File: /filename oder -/filename

(- kein sync nach jedem logging)

Dynamic filenames: ?/filename oder -?/filename

filename mit properties

(- kein sync nach jedem logging)

Named Pipes: |filename

Terminal and Console: /dev/ttyname

Remote Machine: @host[:Port] / @IP-Adresse[:Port] über UDP oder

Remote Machine: @@host[:Port] / @@IP-Adresse[:Port] über TCP

User or List of Users: willi oder root,willi

Everyone logged on: *

Discard: ~

Shell execute: ^program-to-execute

Database: >host,database,user,password

Remote RELP Protokoll: :omrelp:IP-address:port oder :omrelp:host:port

Zu properties siehe Kapitel 'properties'. Zur Logrotate Konfiguration siehe Kapitel 'Logrotate Konfiguration fuer Dynamic Files'.

Diese Version des Paketes unterstützt nur die MySQL bzw. Maria DB Datenbank.

Sollen die Logzeilen in zwei Ziele, also z.B. sowohl in eine Datei, als auch in eine Datenbank ausgegeben werden, so muss die gesamte Regel doppelt, aber mit den verschiedenen ACTION-Angaben, erzeugt werden.

ACHTUNG:
Wird das Output Modul omrelp genutzt, so muss das Package ”libgnutls” installiert sein. Das Package ”libgnutls” wurde nicht als required in die Package Datei des rsyslogd aufgenommen, da es zusammen mit den für ”libgnutls” selbst notwendigen Packages sehr umfangreich ist.

Gültige Werte: siehe oben

Standardeinstellung: RSYSLOGD_RULE_x_ACTION='/var/log/messages'

RSYSLOGD_RULE_x_LINE_TEMPLATE

Format der Zeilen im Log.

Wird RSYSLOGD_RULE_x_LINE_TEMPLATE auf 'Default' gesetzt,
so wird RSYSLOGD_DEFAULT_LINE_TEMPLATE genutzt.
Werden die Logzeilen in eine Datenbank geschrieben, so wird
standardmäßig 'MySQLInsert' genutzt, es sein denn, es wird
explizit 'MySQLInsertProgname' gesetzt.
MySQLInsertProgname benutzt '%programname%' statt '%syslogtag%'.

Standardeinstellung: RSYSLOGD_RULE_x_LINE_TEMPLATE='Default'

RSYSLOGD_RULE_x_ROTATE

Legt fest, ob der für diese Regel (Ziel der Regel) eine Logrotate Konfiguration generiert werden soll.

Gültige Werte: yes, no

Achtung: Nicht alle Ziele (ACTION-Angaben) können rotieren.
Kann eine ACTION-Angabe nicht rotieren, so wird de Angabe ggf. ignoriert und eine entsprechende Warnung ausgegeben.

Standardeinstellung: RSYSLOGD_RULE_x_ROTATE='yes'

RSYSLOGD_RULE_x_ROTATE_MODE

Legt fest, welcher Modus für das Logrotate genutzt werden soll.

std : es wird der Standard Modus (logrotate über cron) genutzt
size: es wird über eine einstellbare Größe der Datei unter Nutzung
sog. outchannel rotiert

Gültige Werte: std, size

Standardeinstellung: RSYSLOGD_RULE_x_ROTATE_MODE='std'

RSYSLOGD_RULE_x_ROTATE_PRE_CMD

Pre rotate Kommando der Logrotate Konfiguration.
Bei Nutzung von RSYSLOGD_RULE_x_ROTATE_MODE='std'

Gültige Werte: Text

Standardeinstellung: RSYSLOGD_RULE_x_ROTATE_PRE_CMD=”

RSYSLOGD_RULE_x_ROTATE_POST_CMD

Post rotate Kommando der Logrotate Konfiguration.
Bei Nutzung von RSYSLOGD_RULE_x_ROTATE_MODE='std'

Gültige Werte: Text

Standardeinstellung: RSYSLOGD_RULE_x_ROTATE_POST_CMD='/etc/init.d/rsyslogd ––quiet restart'

RSYSLOGD_RULE_x_ROTATE_LOG_INTERVAL

Logrotate interval.
Bei Nutzung von RSYSLOGD_RULE_x_ROTATE_MODE='std'

Gültige Werte: daily, weekly, monthly

Standardeinstellung: RSYSLOGD_RULE_x_ROTATE_LOG_INTERVAL='daily'

RSYSLOGD_RULE_x_ROTATE_LOG_COUNT

Anzahl der Logfiles, die behalten werden sollen.
Bei Nutzung von RSYSLOGD_RULE_x_ROTATE_MODE='std'
und RSYSLOGD_RULE_x_ROTATE_MODE='size'

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_RULE_x_ROTATE_LOG_COUNT='10'

RSYSLOGD_RULE_x_ROTATE_SIZE

Maximale Dateigröße in Bytes.
Bei Nutzung von RSYSLOGD_RULE_x_ROTATE_MODE='size'

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_RULE_x_ROTATE_SIZE='2085181488'

rsyslogd syslog server (listener settings)

RSYSLOGD_LISTEN

Legt fest, auf welchen Adressen der rsyslogd 'lauschen' soll.
ipv4-only nur IPv4 Adressen werden genutzt.
ipv6-only nur IPv6 Adressen werden genutzt.
Ist RSYSLOGD_LISTEN=” gesetzt, so nutzt der rsyslogd alle Adressen des Systems, also IPv4 Adressen und IPv6 Adressen.

Gültige Werte: leer, ipv4-only, ipv6-only

Standardeinstellung: RSYSLOGD_LISTEN=”

RSYSLOGD_IMUDP

Legt fest, ob das Input Modul imudp genutzt wird (yes) oder (no).

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_IMUDP='no'

RSYSLOGD_IMUDP_N

Anzahl der Port Definitionen.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_IMUDP_N='0'

RSYSLOGD_IMUDP_x_PORT

Zu benutzender Port.

Gültige Werte: 1..65535

Standardeinstellung: RSYSLOGD_IMUDP_x_PORT='514'

RSYSLOGD_IMTCP

Legt fest, ob das Input Modul imtcp genutzt wird (yes) oder (no).

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_IMTCP='no'

RSYSLOGD_IMTCP_N

Anzahl der Port Definitionen.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_IMTCP_N='0'

RSYSLOGD_IMTCP_x_PORT

Zu benutzender Port.

Gültige Werte: 1..65535

Standardeinstellung: RSYSLOGD_IMTCP_x_PORT='514'

rsyslogd syslog server (allowed sender list)

Die Konfiguration der RSYSLOGD_ALLOWED_SENDER wird ab der Paketversion 1.1.6 nicht mehr auf die rsyslog Direktiven $AllowedSender abgebildet. Statt dessen werden Filterregeln für die Kernel NFtables erzeugt.

Siehe Kapitel 'List nftables filter table'

RSYSLOGD_ALLOWED_SENDER_N

Anzahl der authorisierten Sender.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_ALLOWED_SENDER_N='0'

RSYSLOGD_ALLOWED_SENDER_x_ACTIVE

Legt fest, ob Konfigurationselement aktiv ist oder nicht.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_ALLOWED_SENDER_x_ACTIVE='yes'

RSYSLOGD_ALLOWED_SENDER_x_PROT

Protokoll, das genutzt wird.

Gültige Werte: UDP, TCP oder RELP

Standardeinstellung: RSYSLOGD_ALLOWED_SENDER_x_PROT='RELP'

RSYSLOGD_ALLOWED_SENDER_x_PORT

Port, der genutzt wird.

Gültige Werte: numerische Portnummer

Standardeinstellung: RSYSLOGD_ALLOWED_SENDER_x_PORT='20514'

RSYSLOGD_ALLOWED_SENDER_x

Authorisierten Sender. IP-Adresse (z.B. 192.168.1.6) oder Hostname (z.B. eisnodev) oder FQDN (z.B. eisnodev.ap.de) oder Netzwerk (z.B. *.ap.de oder 192.168.1.0/24) Vorsicht bei Hostnamen, FQDN und Netzwerknamen. Es muss eine entsprechende Namensauflösung möglich sein.

Gültige Werte: siehe oben

Standardeinstellung: RSYSLOGD_ALLOWED_SENDER_x='127.0.0.1'

rsyslogd syslog server (impstats settings)

RSYSLOGD_IMPSTAT

Lade das impstats Satistik-Modul, ja oder nein.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_IMPSTAT='no'

RSYSLOGD_IMPSTATS_INTERVAL

Statistik Interval in Sekunden.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_IMPSTATS_INTERVAL='300'

RSYSLOGD_IMPSTATS_FACILITY

Facility für die Statistik (numerisch 0-23).
Facility 5 ist syslog.

Gültige Werte: Facility (numerisch) 0..23

Standardeinstellung: RSYSLOGD_IMPSTATS_FACILITY='5'

RSYSLOGD_IMPSTATS_SEVERITY

Severity für die Statistik (numerisch 0-7).
Severity 6 ist info.

Gültige Werte: Severity (numerisch) 0..7

Standardeinstellung: RSYSLOGD_IMPSTATS_SEVERITY='6'

RSYSLOGD_IMPSTATS_BRACKETING

Benutze bracketing, ja oder nein.
Beim bracketing werden die Statistikblöcke in zwei Zeile (BEGIN und END) eingeschlossen.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_IMPSTATS_BRACKETING='no'

RSYSLOGD_IMPSTATS_SYSLOG

Sende die Statistikzeilen in den Syslog Stream, ja oder nein.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_IMPSTATS_SYSLOG='yes'

RSYSLOGD_IMPSTATS_FILE

Wenn nicht leer, schreibe die Statistik in eine Datei.

Gültige Werte: absoluter Dateiname (z.B. /var/log/impstat.log)

Standardeinstellung: RSYSLOGD_IMPSTATS_FILE=”

RSYSLOGD_IMPSTATS_FILE_ROTATE

Rotiere die Statistikdatei mittels logrotate, ja oder nein.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_IMPSTATS_FILE_ROTATE='no'

rsyslogd syslog server (imrelp port list)

RSYSLOGD_IMRELP

Legt fest, ob das Input Modul imrelp genutzt wird (yes) oder (no).

ACHTUNG:
Wird das Input Modul imrelp genutzt, so muss das Package ”libgnutls” installiert sein. Das Package ”libgnutls” wurde nicht als required in die Package Datei des rsyslogd aufgenommen, da es zusammen mit den für ”libgnutls” selbst notwendigen Packages sehr umfangreich ist.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_IMRELP='no'

RSYSLOGD_IMRELP_N

Anzahl der Port Definitionen.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_IMRELP_N='0'

RSYSLOGD_IMRELP_x_PORT

Zu benutzender Port.

Gültige Werte: 1..65535

Standardeinstellung: RSYSLOGD_IMRELP_x_PORT='20514'

rsyslogd cron job to purge DB table

RSYSLOGD_DBPURGE

Bereinigung der Tabelle SystemEvents unter Nutzung eines cron jobs.
Es wird durch das Skript, welches der cron job startet, ein Protokolleintrag der folgenden Form erzeugt:

Mar 28 00:10:01 eiskernel root: rsyslogd: table SystemEvents total 4170 rows / 58 will be deleted

Eine Bereinigung findet nur statt, wenn die 'will be deleted' Angabe einen Wert größer 0 anzeigt.

Achtung: bei RSYSLOGD_DBPURGE='no' kann die Tabelle SystemEvents und damit die Datenbank enorm wachsen.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_DBPURGE='no'

RSYSLOGD_DBPURGE_SCHEDULE

Konfiguration des cron jobs. Der Default '10 0 * * *' bedeutet, dass der cron job jeden Tag um 00:10 Uhr ausgeführt werden soll.

Gültige Werte: Konfigurationsstring für cron jobs

Standardeinstellung: RSYSLOGD_DBPURGE_SCHEDULE='10 0 * * *'

RSYSLOGD_DBPURGE_KEEP_DAYS

Anzahl Tage, für die die Logeinträge in der Tabelle SystemEvents erhalten bleiben sollen. Der Default '7' bedeutet 7 Tage bzw. eine Woche.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_DBPURGE_KEEP_DAYS='7'

rsyslogd expert cron job(s) to purge DB table

RSYSLOGD_DBPURGE_EXPERT

Soll expert purge genutzt werden, ja oder nein.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_DBPURGE_EXPERT='no'

RSYSLOGD_DBPURGE_N

Anzahl der Definitionen.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_DBPURGE_N='1'

RSYSLOGD_DBPURGE_x_NAME

Name bzw. Beschreibung der Definition.

Gültige Werte: Text

Standardeinstellung: RSYSLOGD_DBPURGE_x_NAME=”

RSYSLOGD_DBPURGE_x_ACTIVE

Ist die Definition aktiv, ja oder nein.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_DBPURGE_x_ACTIVE='yes'

RSYSLOGD_DBPURGE_x_SCHEDULE

Konfiguration des cron jobs. Der Default '10 0 * * *' bedeutet, dass der cron job jeden Tag um 00:10 Uhr ausgeführt werden soll.

Gültige Werte: Konfigurationsstring für cron jobs

Standardeinstellung: RSYSLOGD_DBPURGE_x_SCHEDULE='10 0 * * *'

RSYSLOGD_DBPURGE_x_KEEP_DAYS

Anzahl Tage, für die die Logeinträge in der Tabelle SystemEvents erhalten bleiben sollen. Der Default '7' bedeutet 7 Tage bzw. eine Woche.

Wird hier eine Angabe gemacht, so wird zusätzlich zu der Bedingung aus COLUMN, OPERATOR und VALUE (siehe unten) eine Bedingung auf die Column ReceivedAt erzeugt.

Gültige Werte: Zahl / leer

Standardeinstellung: RSYSLOGD_DBPURGE_x_KEEP_DAYS='7'

RSYSLOGD_DBPURGE_x_COLUMN

Column aus der Tabelle SystemEvents.

Gültige Werte: ID, ReceivedAt, DeviceReportedTime, Facility, Priority, FromHost, Message, InfoUnitID, SysLogTag, ProcessID

Standardeinstellung: RSYSLOGD_DBPURGE_x_COLUMN='FromHost'

RSYSLOGD_DBPURGE_x_OPERATION

Operation, die genutzt werden soll.

Gültige Werte: >, >=, <, <=, =, !=, like

Standardeinstellung: RSYSLOGD_DBPURGE_x_OPERATION='like'

RSYSLOGD_DBPURGE_x_VALUE

Wert, der genutzt werden soll.
Bei like steht % für mehrere Zeichen, _ für ein Zeichen.

Gültige Werte: Text

Standardeinstellung: RSYSLOGD_DBPURGE_x_VALUE='eistest%'

rsyslogd syslog server (file input definitions)

RSYSLOGD_FILE_INPUT

Soll File Input genutzt werden, ja oder nein.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_FILE_INPUT='no'

RSYSLOGD_FILE_INPUT_N

Anzahl der Definitionen.

Gültige Werte: Zahl

Standardeinstellung: RSYSLOGD_FILE_INPUT_N='0'

RSYSLOGD_FILE_INPUT_x_NAME

Name bzw. Beschreibung der Definition.

Gültige Werte: Text

Standardeinstellung: RSYSLOGD_FILE_INPUT_x_NAME=”

RSYSLOGD_FILE_INPUT_x_ACTIVE

Ist die Definition aktiv ja oder nein.

Gültige Werte: yes, no

Standardeinstellung: RSYSLOGD_FILE_INPUT_x_ACTIVE='yes'

RSYSLOGD_FILE_INPUT_x_FILENAME

Absoluter Pfadname der Input Datei.

Gültige Werte: absoluter Pfad

Standardeinstellung: RSYSLOGD_FILE_INPUT_x_FILENAME='/var/log/log.url-error'

RSYSLOGD_FILE_INPUT_x_TAG

Zu nutzender Tag für die Logmeldungen. Es ist sinnvoll den Tag mit einem Doppelpunkt als letztes Zeichen einzugeben.

Gültige Werte: nicht leer

Standardeinstellung: RSYSLOGD_FILE_INPUT_x_TAG='url-error:'

RSYSLOGD_FILE_INPUT_x_FACILITY

Zu nutzende Facility für die Logmeldungen. Z.B. news, user, local0, local1, local2, local3, local4, local5, local6, local7.

Gültige Werte: facility

Standardeinstellung: RSYSLOGD_FILE_INPUT_x_FACILITY='local7'

RSYSLOGD_FILE_INPUT_x_SEVERITY

Zu nutzende Severity für die Logmeldungen.

Gültige Werte: debug, info, notice, warning, err, crit, alert, emerg

Standardeinstellung: RSYSLOGD_FILE_INPUT_x_SEVERITY='err'

Spezielle Menuepunkte

Menue: Test rsyslogd configuration

Über diesen Menuepunkt kann die rsyslogd Konfiguration durch den Daemon selbst geprüft werden. Dazu wird er intern mit dem Parameter '-N 10' aufgerufen.

Die Prüfung kann von der Kommandozeile auch über
/etc/init.d/rsyslogd test
ausgeführt werden.

Im Erfolgsfall wird eine Meldung wie folgt ausgegeben:

Test rsyslogd configuration
/etc/init.d/rsyslogd test
rsyslogd: version 8.7.0, config validation run (level 10), master config
/etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.
Press ENTER to continue

Die Fehlermeldungen sind leider (manchmal) etwas kryptisch:

Test rsyslogd configuration
/etc/init.d/rsyslogd test
rsyslogd: version 8.7.0, config validation run (level 10), master config
/etc/rsyslog.conf
rsyslogd: action 'local9' treated as ':omusrmsg:local9' - please change
syntax, 'local9' will not be
supported in the future [try http://www.rsyslog.com/e/2184 ]
rsyslogd: error during parsing file /etc/rsyslog.d/20_rsyslogd.conf, on
or before line 8: warnings
occured in file '/etc/rsyslog.d/20_rsyslogd.conf' around line 8
[try http://www.rsyslog.com/e/2207 ]
rsyslogd: invalid character in selector line - ';template' expected
rsyslogd: error during parsing file /etc/rsyslog.d/20_rsyslogd.conf, on
or before line 8: errors
occured in file '/etc/rsyslog.d/20_rsyslogd.conf' around line 8 
try http://www.rsyslog.com/e/2207 ]
rsyslogd: End of config validation run. Bye.
Press ENTER to continue

Hier wurde z.B.
local9.=info /var/log/log.eis-install;TraditionalFormat
statt
local5.=info /var/log/log.eis-install;TraditionalFormat
bei einer manuellen Konfiguration genutzt.

Menue: rsyslogd tools

Über ein Untermenue werden folgende Werkzeuge zur Verfügung gestellt.

Create configuration using syslog(base)

Unter Nutzung der aktuellen Konfiguration für den syslogd aus der base Konfiguration wird eine Konfiguration für den rsyslogd erzeugt.

Die globalen Angaben
SYSLOGD_LOG_COUNT
SYSLOGD_LOG_INTERVAL
werden für alle einzelnen Rules als
RSYSLOGD_RULE_x_ROTATE_LOG_COUNT und
RSYSLOGD_RULE_x_ROTATE_LOG_INTERVAL übernommen.

Nutzung einer Datenbank

Soll eine MySQL oder Maria DB Datenbank genutzt werden, um Logzeilen in die Datenbank zu schreiben, so ist wie folgt vorzugehen:

Schritt 1.)
Installation, Konfiguration und Start von MySQL oder Maria DB falls nicht bereits geschehen.

Schritt 2.)
Erzeugen der notwendigen Logging Datenbank über das Menue 'Create logging database'.

Schritt 3.)
Anlegen eines entsprechenden Users, um in die Tabellen der Logging Datenbank schreiben zu können. Dies geschieht über das Menue 'Grant full rights on logging database to a user'.

Schritt 4.)
Erzeugen einer RULE, die als Ziel die Datenbank hat.

Bei den Schritten 1 bis 3 wird der Inhalt der Variablen RSYSLOGD_MYSQL_DB_NAME genutzt. In der Regel selbst muss der Name der Datenbank als als String eingegeben werden, dort wird nicht RSYSLOGD_MYSQL_DB_NAME genutzt.

Create logging database

Es wird die Datenbank aus RSYSLOGD_MYSQL_DB_NAME (Achtung: Groß- und Kleinschreibung beachten) in der lokalen MySQL- oder Maria DB-Instanz erzeugt.

Skripts siehe
/usr/lib/rsyslog/createDB.sql
/usr/lib/rsyslog/alterDB_add_ProcessID.sql
und
/usr/lib/rsyslog/alterDB_addon_LogAnalyzer.sql

Das Skript alterDB_addon_LogAnalyzer.sql enthält Erweiterungen, die
für den Adiscon's Log Analyzer (Copyright Adiscon) benötigt werden.

Das Skript /usr/lib/rsyslog/alterDB_addon_LogAnalyzer.sql wird über den Menuepunkt ”Alter logging database for LogAnalyzer” ausgeführt.

Grant full rights on logging database to a user

Den während des Aufrufs einzugebenden User mit den einzugebenden Passwort werden alle Rechte auf die Tabellen der Datenbank aus RSYSLOGD_MYSQL_DB_NAME gegeben.
Damit wird implizit auch der User angelegt.

Die RSYSLOGD_RULE_x_ACTION muss für MySQL wie folgt angegeben werden:
>localhost,Name der logging database,Username,Passwort

Das Zeichen > definiert, daß eine Datenbank genutzt werden soll.

Username und Passwort müssen (natürlich) mit den Angaben bei 'Grant full rights on logging database to a user' übereinstimmen.

Grant read rights on logging database to a user

Den während des Aufrufs einzugebenden User mit den einzugebenden Passwort werden ausschließlich Lese-Rechte auf die Tabellen der Datenbank aus RSYSLOGD_MYSQL_DB_NAME gegeben.
Damit wird implizit auch der User angelegt.

Dieser User kann z.B. zur Auswertung der Tabellen genutzt werden.

Über

mysql -u <Username> -p <Name der logging database>
select * from SystemEvents order by ID;

kann danach z.B. die Tabelle SystemEvents ausgewertet werden.

Drop logging database

Über diesen Menuepunkt kann die komplette logging database gelöscht werden.

Zur Sicherheit erfolgt eine entsprechende Rückfrage:
Do you really want to drop database xxxxxx ? (y/n) [n]?
mit Default n wie no.

Bei xxxxxx wird er Name aus RSYSLOGD_MYSQL_DB_NAME ausgegeben.

Alter logging database for LogAnalyzer

Bei Erzeugen der logging database wird bei der Tabelle SystemEvents die Column ProcessID ergänzt.

Über diesen Menuepunkt werden die Tabellen ProcessID und SystemEvents erweitert, um das Tool LogAnalyzer nutzen zu können.

Manual logfile rotate

Unter Umständen ist es sinnvoll ein Logfile unabhängig von der Größe und insbesondere unabhängig vom Aufruf von logrotate via cron zu rotieren. Dies ist über das Tool 'Manual logfile rotate' möglich.

Beim Aufruf wird ein Untermenü mit den Namen der Logfiles angeboten, die rotiert werden können.

Beispiel:

   1   Rotate file messages
   2   Rotate file log.eis-install

Wird z.B. 1 Rotate file messages ausgewählt, so wird hier folgendes ausgegeben:

rsyslogd: Rotate logfile manually

File to rotate: messages

Probably loss of log information when rotating an outchannel logfile
Empty RSYSLOGD_RULE_%_ROTATE_POST_CMD set to
      '/etc/init.d/rsyslogd --quiet reload' 

Logrotate finished with return code 0

Press ENTER to continue

Achtung: Zeilenumbruch zur Lesbarkeit eingebaut.

Die beiden Warnungen erscheinen, weil hier bem Logfile messages
RSYSLOGD_RULE_1_ROTATE_MODE='size' genutzt wird und damit das sog. outchannel Modul aktiv ist. Bei der gemischten Nutzung von outchannel Modul und logrotate kann es zum Verlust von Loginformation kommen.
Außerdem wurde bei RSYSLOGD_RULE_1_ROTATE_POST_CMD keine Angabe gemacht. Es wird daher beim manuellen Logrotate der oben aufgeführte Befehl genutzt.

Der Logrotate-Befehl wird mit der Option -f (force) ausgeführt.

Test log messages

Über den Befehl logger werden Testmessages an den rsyslogd geschickt. Dabei sind die Facility (FACILITY), die Priorität (PRIORITY), die Anzahl der Durchläufe (Count) und eine Wartezeit (Sleep (seconds)) auswählbar.

Ergebnis sind dann z.B. Zeilen der Form

Dec 13 16:13:49 eis2 root: Testmessage from eis4 (local7:warning)
Dec 13 16:13:49 eis2 root: Testmessage from eis4 (local7:err)
Dec 13 16:13:49 eis2 root: Testmessage from eis4 (local7:crit)
Dec 13 16:13:49 eis2 root: Testmessage from eis4 (local7:alert)
Dec 13 16:13:49 eis2 root: Testmessage from eis4 (local7:emerg)

in einer Log-Datei.

Analyze log rules

Hier wird analysiert, welche Rules welches Tupel FACILITY/PRIORITY loggen.
ACHTUNG: Dieses Analysetool ist ggf. noch fehlerhaft und muss ggf. noch
korrigiert werden.

Beispiel:

rsyslogd logger analyze script

analyzing rule 1 ...
analyzing rule 2 ...
Result:

          debug    info     notice   warning  err      crit     alert    emerg
auth      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
authpriv  #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
cron      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
daemon    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
kern      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
lpr       #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
mail      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
mark      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
news      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
syslog    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
user      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
uucp      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local0    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local1    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local2    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local3    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local4    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local5    #1#      #2#      #1#      #1#      #1#      #1#      #1#      #1#
local6    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local7    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#

Press ENTER to continue

Hier existieren nur zwei Rules.
Alle Tupel FACILITY/PRIORITY bis auf local5/info werden über die Rule 1 (#1#) erfaßt. Nur das Tupel local5/info wird über Rule 2 (#2#) erfaßt.

Eine andere Konfiguration zeigt:

rsyslogd logger analyze script

analyzing rule 1 ...
analyzing rule 2 ...
Result:

          debug    info     notice   warning  err      crit     alert    emerg
auth      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
authpriv  #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
cron      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
daemon    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
kern      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
lpr       #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
mail      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
mark      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
news      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
syslog    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
user      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
uucp      #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local0    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local1    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local2    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local3    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local4    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local5    #1#      #2#      #1#2#    #1#2#    #1#2#    #1#2#    #1#2#    #1#2#
local6    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#
local7    #1#      #1#      #1#      #1#      #1#      #1#      #1#      #1#

Press ENTER to continue

Hier wird local5/notice und höher durch zwei Rules #1#2# erfaßt.

List nftables filter table

Hier können die aus der Konfiguration der RSYSLOGD_ALLOWED_SENDER
erzeugten NFtables angezeigt werden.

Beispiel:

RSYSLOGD_ALLOWED_SENDER_N='3'
RSYSLOGD_ALLOWED_SENDER_1_ACTIVE='yes'
RSYSLOGD_ALLOWED_SENDER_1_PROT='TCP'
RSYSLOGD_ALLOWED_SENDER_1_PORT='517'
RSYSLOGD_ALLOWED_SENDER_1='192.168.178.0/24'
RSYSLOGD_ALLOWED_SENDER_2_ACTIVE='yes'
RSYSLOGD_ALLOWED_SENDER_2_PROT='UDP'
RSYSLOGD_ALLOWED_SENDER_2_PORT='518'
RSYSLOGD_ALLOWED_SENDER_2='192.168.178.103'
RSYSLOGD_ALLOWED_SENDER_3_ACTIVE='yes'
RSYSLOGD_ALLOWED_SENDER_3_PROT='RELP'
RSYSLOGD_ALLOWED_SENDER_3_PORT='20514'
RSYSLOGD_ALLOWED_SENDER_3='192.168.178.103'

Das gesamte Netzwerk '192.168.178.0/24' darf üeber UDP Port 517 Meldungen
an den rsyslogd senden.
Nur der Server 192.168.178.103 darf auch über TCP Port 518 Meldungen
an den rsyslogd senden.
Der Server 192.168.178.103 darf auch über das RELP Protokoll über Port 20514 Meldungen an den rsyslogd senden.

Dies führt zu folgender NFtable Filtertabelle:

table ip rsyslogd_filter { # handle 0
chain INPUT { # handle 1
ip saddr 192.168.178.0/24 tcp dport 517 counter packets 0
                              bytes 0 accept # handle 4
ip saddr 192.168.178.103 udp dport 518 counter packets 0
                             bytes 0 accept # handle 5
ip saddr 192.168.178.103 tcp dport 20514 counter packets 0
                             bytes 0 accept # handle 6
tcp dport 20514 counter packets 0 bytes 0 drop # handle 7
tcp dport 517 counter packets 0 bytes 0 drop # handle 8
udp dport 518 counter packets 0 bytes 0 drop # handle 9
}

chain FORWARD { # handle 2
}

chain OUTPUT { # handle 3
}

}

Zur besseren Lesbarkeit wurden die Zeilen bei ip saddr ... umgebrochen.

Die drei Regeln, die auf accept und einen Kommentar mit der sog. Handle-Nummer enden, erteilen die entsprechenden Erlaubnis.

Die drei Regeln, die auf drop und einen Kommentar mit der sog. Handle-Nummer enden, ist zu erkennen, daß Pakete die von anderen Quelladressen (saddr) stammen verworfen werden.

List allowed sender

Hier kann eine Übersicht zu den Konfigurationen von

   RSYSLOGD_IMUDP
   RSYSLOGD_IMUDP_N
   RSYSLOGD_IMUDP_%_PORT
   RSYSLOGD_IMTCP
   RSYSLOGD_IMTCP_N
   RSYSLOGD_IMTCP_%_PORT
   RSYSLOGD_IMRELP
   RSYSLOGD_IMRELP_N
   RSYSLOGD_IMRELP_%_PORT
   RSYSLOGD_ALLOWED_SENDER_N
   RSYSLOGD_ALLOWED_SENDER_%_ACTIVE
   RSYSLOGD_ALLOWED_SENDER_%_PROT
   RSYSLOGD_ALLOWED_SENDER_%_PORT
   RSYSLOGD_ALLOWED_SENDER_%
   erzeugt werden.

Im Wesentlichen können damit Lücken beim Schutz vor beliebigen Sendern erkannt werden.

Beispiel:

   Protocol   Port     Allowed Sender

   UDP        514      192.168.178.10
                       192.168.178.103
   UDP        515      All sender allowed
   UDP        518      192.168.178.103
   TCP        517      192.168.178.0/24
   RELP       20514    192.168.178.103
   RELP       20515    All sender allowed

Beim Input Modul imudp wurden zwar Regeln für die Ports 514 (2 Regeln) und 518 erstellt, aber über den Port 515 können beliebige Sender Daten anliefern.
Beim Input Modul imtcp wurde eine Regel für den Port 517 erstellt.
Beim Input Modul imrelp wurde der Port 20515 für beliebige Sender offen gelassen.

Fehlt ein Schutz, so kann der rsyslogd ggf. mit Meldungen überflutet werden!

Datenfluss im rsyslog daemon

Es gibt verschiedene Inputs im Datenfluss des rsyslog daemon.
Die ersten beiden Inputs werden immer konfiguriert.
Alle weiteren Inputs nur bei entsprechender Konfiguration durch die Eisfair Konfigurationsvariablen.

Inputs sind:

   Standard syslog messages:    Von Anwendungen, die auf dem lokalen System
                                laufen
   Kernel messages:             Meldungen des Kernels (kernel log)
   Internal rsyslogd messages:  Start- und Stopmeldungen des rsyslog daemon
                                Siehe RSYSLOGD_INTERNAL_MESSAGES
   Internal messages:           Die --MARK-- message wird intern erzeugt
                                Siehe RSYSLOGD_MARK_INTERVAL
   Statistik messages:          Spezielle Meldungen des impstat Moduls
                                Siehe RSYSLOGD_IMPSTATS
   UDP input messages:          Meldungen, die ueber UDP von anderen Systemen
                                angeliefert werden
                                Siehe RSYSLOGD_LISTEN und RSYSLOGD_IMUDP
   TCP input messages:          Meldungen, die ueber TCP von anderen Systemen
                                angeliefert werden
                                Siehe RSYSLOGD_LISTEN und RSYSLOGD_IMTCP
   RELP input messages:         Meldungen, die ueber das spezielle RELP
                                Protokoll von anderen Systemen angeliefert
                                werden
                                Siehe RSYSLOGD_IMRELP
   File input messages:         Meldungen, die aus Textdateien ausgelesen
                                werden
                                Siehe RSYSLOGD_FILE_INPUT

Die Meldungen werden zur Abarbeitung an die angegebenen Regeln übergeben. Dabei ist die textuelle Reihenfolge der Regeln in der erzeugten Konfiguration wichtig. Diese Reihenfolge spiegelt auch die Reihenfolge in der Eisfair Konfigurationsdatei wider. Die Reihenfolge ist:
'Global Discard Filter'
'Filter Rules'
'Rule Settings'
Innerhalb der drei Regelgruppen ist die entsprechende Nummer wichtig.

Bei der Gruppe 'Global Discard Filter' werden die Filterregeln ausgewertet und, falls die Regel zutrifft, die Meldung verworfen. Trifft die Regel nicht zu, so wird die nächste Regel ausgewertet.

Nach der Gruppe 'Global Discard Filter' wird für die nicht verworfenen Meldungen in der Gruppe 'Filter Rules' weiter gemacht. Hier gilt: trifft eine Filterregel zu, so wird die Meldung in die konfigurierte Datei geschrieben und anschließend abhängig von RSYSLOGD_FILTER_x_STOP verworfen ('yes') oder bei ('no') die nächste Regel ausgewertet.

Nach der Gruppe 'Filter Rules' findet die Auswertung durch die 'Rule Settings' statt. Hier wird die Meldung jeweils ausgewertet, die entsprechende Aktion (RSYSLOGD_RULE_x_ACTION) ausgeführt und an die nächste Regel weitergegeben. Klare Ausnahme ist hier die Discard Aktion. Hier besteht die gewünschte Aktion ja gerade im Verwerfen der Meldung.

Trifft eine Regel für mehrere Meldungen zu, so werden ggf. mehrere Aktionen durchgeführt. Um z.B. alle Meldungen in die Datei /var/log/messages und in die Datenbanktabelle der MySQL-Datenbank zu schreiben wäre also z.B.:

RSYSLOGD_RULE_N='2'
RSYSLOGD_RULE_1_ACTIVE='yes'
RSYSLOGD_RULE_1_SELECTOR_N='1'
RSYSLOGD_RULE_1_SELECTOR_1_ACTIVE='yes'
RSYSLOGD_RULE_1_SELECTOR_1='*.*'
RSYSLOGD_RULE_1_ACTION='/var/log/messages'
RSYSLOGD_RULE_2_ACTIVE='yes'
RSYSLOGD_RULE_2_SELECTOR_N='1'
RSYSLOGD_RULE_2_SELECTOR_1_ACTIVE='yes'
RSYSLOGD_RULE_2_SELECTOR_1='*.*'
RSYSLOGD_RULE_2_ACTION='>mydbhost,Syslog,loguser,secret'

zu konfigurieren (Konfiguration leicht gekürzt).

Global Discard Filter

Einige Module / Programme etc. erzeugen zyklisch Syslog-Nachrichten, die die rsyslogd Ziele unnötig aufblähen.
Diese Syslog-Meldungen lassen sich ggf. nicht über facility / priority Angaben ausfiltern sondern nur über den Inhalt der Meldungen.

Dies kann über 'Global Discard Filter' geschehen.

Beispiel 1 (von Jürgen Edner):

Das USBIP-Modul generiert beispielhaft zyklisch folgende Meldungen:

  Apr 17 13:09:04 farragut kernel: vhci\_hcd: dequeue a urb ed71d900
  Apr 17 13:09:04 farragut kernel: vhci\_hcd: device ed7e7910 seems
                                   to be still connected
  Apr 17 13:09:04 farragut kernel: vhci\_hcd: unlink->seqnum 679095
  Apr 17 13:09:04 farragut kernel: vhci\_hcd: urb->status -104

Achtung: Zeilenumbruch zur Lesbarkeit eingebaut.

Andere kernel Meldungen und andere Meldungen von vhci_hcd sollen natürlich NICHT ausgefiltert werden!

Die obigen Meldungen lassen sich leicht über folgende 'Global Discard Filter' unterdrücken.

RSYSLOGD_GLOBAL_DISCARD_FILTER_N='4'
RSYSLOGD_GLOBAL_DISCARD_FILTER_1_PROPERTY='msg'
RSYSLOGD_GLOBAL_DISCARD_FILTER_1_OPERATION='contains'
RSYSLOGD_GLOBAL_DISCARD_FILTER_1_VALUE='vhci_hcd: dequeue a urb'
RSYSLOGD_GLOBAL_DISCARD_FILTER_2_PROPERTY='msg'
RSYSLOGD_GLOBAL_DISCARD_FILTER_2_OPERATION='regex'
RSYSLOGD_GLOBAL_DISCARD_FILTER_2_VALUE='vhci_hcd: device.*seems
                                       to be still connected'
RSYSLOGD_GLOBAL_DISCARD_FILTER_3_PROPERTY='msg'
RSYSLOGD_GLOBAL_DISCARD_FILTER_3_OPERATION='contains'
RSYSLOGD_GLOBAL_DISCARD_FILTER_3_VALUE='vhci_hcd: unlink-\>seqnum'
RSYSLOGD_GLOBAL_DISCARD_FILTER_4_PROPERTY='msg'
RSYSLOGD_GLOBAL_DISCARD_FILTER_4_OPERATION='contains'
RSYSLOGD_GLOBAL_DISCARD_FILTER_4_VALUE='vhci_hcd: urb->status -104'

Achtung: Zeilenumbruch zur Lesbarkeit eingebaut.

Beispiel 2:

Wegen einer PAM Konfiguration, die die Installation des Samba-Paket nicht beachtet, werden ggf. folgende Meldungen ausgegeben:

Mar 26 10:26:37 eis350 login[1367]: PAM unable to dlopen(/lib/security/
       pam_smbpass.so): /lib/security/pam_smbpass.so: cannot open shared
       object file: No such file or directory
Mar 26 10:26:37 eis350 login[1367]: PAM adding faulty module: /lib/
       security/pam_smbpass.so

bzw.

Apr 29 19:46:12 eismini sshd[9746]: PAM unable to dlopen(/lib/security/
       pam_smbpass.so): /lib/security/pam_smbpass.so: cannot open shared
       object file: No such file or directory
Apr 29 19:46:12 eismini sshd[9746]: PAM adding faulty module: /lib/
       security/pam_smbpass.so

Achtung: Zeilenumbrüche zur Lesbarkeit eingebaut.

Hier sollen auf keinen Fall alle authpriv.err Meldungen oder gar alle Meldungen der Programme login oder sshd ausgefiltert werden. Diese beiden speziellen Meldungen lassen sich aber beispielsweise leicht über folgende 'Global Discard Filter' unterdrücken.

RSYSLOGD_GLOBAL_DISCARD_FILTER_N='2'
RSYSLOGD_GLOBAL_DISCARD_FILTER_1_PROPERTY='msg'
RSYSLOGD_GLOBAL_DISCARD_FILTER_1_OPERATION='contains'
RSYSLOGD_GLOBAL_DISCARD_FILTER_1_VALUE='PAM unable to dlopen(/lib/security/
                                       pam_smbpass.so)'
RSYSLOGD_GLOBAL_DISCARD_FILTER_2_PROPERTY='msg'
RSYSLOGD_GLOBAL_DISCARD_FILTER_2_OPERATION='regex'
RSYSLOGD_GLOBAL_DISCARD_FILTER_2_VALUE='PAM .* faulty module.*'

Achtung: Zeilenumbruch zur Lesbarkeit eingebaut.

ACHTUNG:
Vorsicht bei der Anwendung von Negationen. Hier können höchst unerwünschte Ergebnisse erzielt werden.

Filter Rules

Beispiele:

A.) Meldungen von dem System mit dem Namen dbhost sollen in die Datei /var/log/dbhost.log geschrieben werden. Die Meldungen sollen auch von den folgenden Regeln bearbeitet werden.

RSYSLOGD_FILTER_1_NAME='Hostname-filter'
RSYSLOGD_FILTER_1_ACTIVE='yes'
RSYSLOGD_FILTER_1_LOGFILE='/var/log/dbhost.log'
RSYSLOGD_FILTER_1_LINE_TEMPLATE='Default'
RSYSLOGD_FILTER_1_STOP='no'
RSYSLOGD_FILTER_1_PROPERTY='hostname'
RSYSLOGD_FILTER_1_OPERATION='startswith'
RSYSLOGD_FILTER_1_VALUE='dbhost'

Hier wird startswith genutzt, da unabhängig von RSYSLOGD_LOG_FQDN sowohl der Hostname dbhost als auch der FQDN (hier dbhost.ap.de) erkannt werden soll.

B.) Alle Meldungen des Programms fcron sollen in die Datei /var/log/fcron.log geschrieben werden. Sie sollen nicht an die folgenden Regeln weitergegeben werden.

RSYSLOGD_FILTER_2_NAME=”
RSYSLOGD_FILTER_2_ACTIVE='yes'
RSYSLOGD_FILTER_2_LOGFILE='/var/log/fcron.log'
RSYSLOGD_FILTER_2_LINE_TEMPLATE='Default'
RSYSLOGD_FILTER_2_STOP='yes'
RSYSLOGD_FILTER_2_PROPERTY='programname'
RSYSLOGD_FILTER_2_OPERATION='=='
RSYSLOGD_FILTER_2_VALUE='fcron'

Für alle Logfiles (RSYSLOGD_FILTER_%_LOGFILE) von aktiven Filtern wird automatisch eine gemeinsame Logrotate Konfiguration in der Datei /etc/logrotate.d/rsyslogd_filter erzeugt.

Beispiel für Filter Rules mit zwei Dateien:

#-------------------------------------------------------------------------------
# /etc/logrotate.d/rsyslogd_filter file generated by /var/install/config.d/rsyslogd.sh
#
# Do not edit this file, edit /etc/config.d/rsyslogd
# Creation date: Wed Nov 21 17:10:58 CET 2018
#-------------------------------------------------------------------------------
/var/log/dbhost.log /var/log/fcron.log {
   daily
   missingok
   rotate 10
   compress
   notifempty
   postrotate
      /etc/init.d/rsyslogd --quiet reload
   endscript
}

In einer späteren Version des rsyslogd Paketes wird es ggf. Optionen für einzelne spezielle Konfigurationen geben.

expert cron job(s) to purge DB table

Mit Hilfe der Definitionen aus dieser Konfigurationsgruppe können eine Reihe von cron Jobs definiert werden, bei deren Ausfürung jeweils defnierte Zeilen aus der Tabelle SystemEvents gelöscht werden können.

Ist RSYSLOGD_DBPURGE_x_KEEP_DAYS nicht leer, so wird eine Bedingung

(ReceivedAt < date_add(current_date, interval 
              -$RSYSLOGD_DBPURGE_x_KEEP_DAYS day)) and

mit der Bedingung aus COLUMN, OPERATOR und VALUE mittels and verknüpft. Achtung: Zeilenumbruch zur besseren Lesbarkeit eingefügt.

Aus RSYSLOGD_DBPURGE_x_COLUMN, RSYSLOGD_DBPURGE_x_OPERATION
und RSYSLOGD_DBPURGE_x_VALUE wird ebenfalls eine Bedingung generiert.
Beispiel:

(FromHost like 'eistest%')

Die generierten SQL-Befehle können im Menue ”rsyslogd tools” Untermenue ”Test DBPurge expert configurations” getestet werden:

Beispiel:

rsyslogd Test DBPurge expert configurations.

No. Name           Active Keep Column             Op    Value
1   ...            yes    7    FromHost           like  eistest%

Select configuration (1-1, ENTER=Return, 0=Exit)?1
Generated select file:

/*
   file generated by /var/install/config.d/rsyslogd.sh v0.6.10
*/
select 'total', count(*) from SystemEvents
 union
select 'old', count(*) FROM SystemEvents WHERE
(ReceivedAt < date_add(current_date, interval -7 day)) and
(FromHost like 'eistest%');

Press ENTER to continue
Select file output:

+-------+------+
| total | 4741 |
| old   |  102 |
+-------+------+

The Delete file will delete 102 rows!

Press ENTER to continue

Die Ausgabe ... unter Name bedeutet, daß RSYSLOGD_DBPURGE_x_NAME leer ist.

File Input Definitions

Mit Hilfe der File Input Definitions kann der rsyslogd veranlasst werden Standard-Text-Dateien in syslog Meldungen zu konvertieren. Diese können dann auch über entsprechende Regeln auf einen Remote Host übertragen und dort zentral ausgewertet werden.

Beispiel: Ein Shell-Skript schreibt Fehlermeldungen direkt in eine Datei. Diese Fehlermeldungen sind nur direkt auf dem Host, auf dem das Shell-Skript abläuft, verfügbar. Eine entsprechende File Input Definition ermöglicht es diese Meldungen in syslog Meldungen zu konvertieren und auf einen anderen Host zu übertragen.

Hier wird (zufällig) Regel 5 genutzt.

RSYSLOGD_RULE_5_NAME=”
RSYSLOGD_RULE_5_ACTIVE='yes'
RSYSLOGD_RULE_5_SELECTOR_N='1'
RSYSLOGD_RULE_5_SELECTOR_1_NAME='Übergabe log.url-error'
RSYSLOGD_RULE_5_SELECTOR_1_ACTIVE='yes'
RSYSLOGD_RULE_5_SELECTOR_1='local7.=err'
RSYSLOGD_RULE_5_ACTION='@eis350.fritz.box'
RSYSLOGD_RULE_5_LINE_TEMPLATE='Default'
RSYSLOGD_RULE_5_ROTATE='no'

RSYSLOGD_FILE_INPUT='yes'
RSYSLOGD_FILE_INPUT_N='1'
RSYSLOGD_FILE_INPUT_1_NAME='Übergabe log.url-error'
RSYSLOGD_FILE_INPUT_1_ACTIVE='yes'
RSYSLOGD_FILE_INPUT_1_FILENAME='/var/log/log.url-error'
RSYSLOGD_FILE_INPUT_1_TAG='url-error:'
RSYSLOGD_FILE_INPUT_1_FACILITY='local7'
RSYSLOGD_FILE_INPUT_1_SEVERITY='err'

Der Inhalt der Datei /var/log/log.url-error wird auf dem Host eis350.fritz.box übertragen.

Inhalt:

eismini # cat log.url-error
2016-09-06 10:30:45 url-fail: http://download.eisfair.org/packages/eis-list.txt

erscheint als:

Sep  6 10:30:46 eismini eismini url-error: 2016-09-06 10:30:45 url-fail:
     http://download.eisfair.org/packages/eis-list.txt

im Log von eis350.fritz.box. Achtung: Zeilenumbruch zur Lesbarkeit eingebaut.

Es werden jeweils nur 'neue' Zeilen übertragen. Eine ggf. konfigurierte Logrotate Aktion für die betroffene Datei wird abgehandelt.

Der Status der Datei wird im Verzeichnis /usr/lib/rsyslog/workdir in der Datei imfile-state:-var-log-log.url-error gehalten. Wird diese Statusdatei gelöscht, so wird erneut der gesamte Inhalt der Datei übertragen.

properties

   Alle Properties sind unter
   https://www.rsyslog.com/doc/v8-stable/configuration/properties.html
   aufgelistet

   Die Property $programname enthaelt leider eine "Überraschung",
   gerade für den rsyslogd Hier werden Programmnamen wie rsyslogd-2007,
   rsyslogd-2291, rsyslogd-2353, rsyslogd-2359 und rsyslogd0 erzeugt.

   Um diese Programmnamen auf ein einheitliches rsyslogd zu mappen,
   wurde die konfigurationsinterne Property $!data!modprogramname
   eingeführt. $!data!modprogramname korrigiert die "überraschenden"
   Programmnamen.

Logrotate Konfiguration fuer Dynamic Files

   Die Eisfair Konfigurationsskripte koennen für Dynafiles nicht automatisch
   logrotate Konfigurationen in /etc/logrotate.d anlegen. Aus der ACTION ist
   ja nur ein Teil der Dateinamen fix, ein Teil entsteht ja durch die Anwendung
   der properties in der ACTION (ggf. im Laufe der Zeit).

   logrotate Konfigurationen in /etc/logrotate.d müssen daher manuell angelegt
   werden. Ein Hilfsskript /var/install/bin/rsyslogd-tools-create-rotate-conf
   unterstützt hierbei.

   rsyslogd-tools-create-rotate-conf benötigt drei Parameter
   $1 RSYSLOGD_RULE_N
   $2 Pfadangabe
   $3 Dateiname oder ALL

   Es wird bei der Ausführung eine Datei /etc/logrotate.d/rsyslogd_dyn_xx
   angelegt. xx wird aus Parameter $1 des Skripts gesetzt. Die automatisch
   generierten logrotate Konfigurationen in /etc/logrotate.d folgen der
   Syntax rsyslogd_dyn_xx. Dabei ist xx die RSYSLOGD_RULE_N.

   Beispiele:

   Beispiel 1:
   ***********

   ACTION:
   RSYSLOGD_RULE_4_ACTION='?/var/log/hosts/%HOSTNAME%/messages'

   Verzeichnis:
   /var/log/hosts
   /var/log/hosts/eistestvirt.fritz.box
   /var/log/hosts/eistestvirt.fritz.box/messages
   /var/log/hosts/logserv.fritz.box
   /var/log/hosts/logserv.fritz.box/messages

   Aufruf:
   sh rsyslogd-tools-create-rotate-conf 4 /var/log/hosts messages

   Erzeugt Datei

   rsyslogd_dyn_04

   ....
   /var/log/hosts/eistestvirt.fritz.box/messages
   /var/log/hosts/logserv.fritz.box/messages {
      daily
      missingok
   ....

   Beispiel 2:
   ***********

   ACTION:
   RSYSLOGD_RULE_5_ACTION='?/var/log/modprog/%$!data!modprogramname%/messages'

   Verzeichnis:
   /var/log/modprog
   /var/log/modprog/eis-deinstall
   /var/log/modprog/eis-deinstall/messages
   /var/log/modprog/eis-update
   /var/log/modprog/eis-update/messages
   /var/log/modprog/eis_install
   /var/log/modprog/eis_install/messages
   /var/log/modprog/fcron
   /var/log/modprog/fcron/messages
   /var/log/modprog/fcrontab
   /var/log/modprog/fcrontab/messages
   /var/log/modprog/haveged
   /var/log/modprog/haveged/messages
   /var/log/modprog/init
   /var/log/modprog/init/messages
   /var/log/modprog/kernel
   /var/log/modprog/kernel/messages
   /var/log/modprog/rsyslogd
   /var/log/modprog/rsyslogd/messages
   /var/log/modprog/shutdown
   /var/log/modprog/shutdown/messages
   /var/log/modprog/sshd
   /var/log/modprog/sshd/messages
   /var/log/modprog/su
   /var/log/modprog/su/messages
   /var/log/modprog/usermod
   /var/log/modprog/usermod/messages
   /var/log/modprog/xinetd
   /var/log/modprog/xinetd/messages

   Aufruf:
   sh rsyslogd-tools-create-rotate-conf 5 /var/log/modprog messages

   Erzeugt Datei

   rsyslogd_dyn_05

   ...
   /var/log/modprog/eis-deinstall/messages
   /var/log/modprog/eis-update/messages
   /var/log/modprog/eis_install/messages
   /var/log/modprog/fcron/messages
   /var/log/modprog/fcrontab/messages
   /var/log/modprog/haveged/messages
   /var/log/modprog/init/messages
   /var/log/modprog/kernel/messages
   /var/log/modprog/rsyslogd/messages
   /var/log/modprog/shutdown/messages
   /var/log/modprog/sshd/messages
   /var/log/modprog/su/messages
   /var/log/modprog/usermod/messages
   /var/log/modprog/xinetd/messages {
      daily
      missingok
   ...

   Beispiel 3:
   ***********

   Zwei miteinander verbundene Regeln

   RSYSLOGD_RULE_7_NAME='messages_per_host'
   RSYSLOGD_RULE_7_SELECTOR_N='2'
   RSYSLOGD_RULE_7_SELECTOR_1_NAME='messages'
   RSYSLOGD_RULE_7_SELECTOR_1='*.*'
   RSYSLOGD_RULE_7_SELECTOR_2_NAME='eis-install'
   RSYSLOGD_RULE_7_SELECTOR_2='local5.!=info'
   RSYSLOGD_RULE_7_ACTION='?/var/log/all_hosts/%HOSTNAME%/messages'

   RSYSLOGD_RULE_8_NAME='eis-install_per_host'
   RSYSLOGD_RULE_8_SELECTOR_N='1'
   RSYSLOGD_RULE_8_SELECTOR_1_NAME='eis-install'
   RSYSLOGD_RULE_8_SELECTOR_1='local5.=info'
   RSYSLOGD_RULE_8_ACTION='?/var/log/all_hosts/%HOSTNAME%/eis-install'

   Verzeichnis:
   /var/log/all_hosts
   /var/log/all_hosts/eistestvirt.fritz.box
   /var/log/all_hosts/eistestvirt.fritz.box/eis-install
   /var/log/all_hosts/eistestvirt.fritz.box/messages
   /var/log/all_hosts/logserv.fritz.box
   /var/log/all_hosts/logserv.fritz.box/eis-install
   /var/log/all_hosts/logserv.fritz.box/messages

   Aufruf:
   sh rsyslogd-tools-create-rotate-conf 78 /var/log/all_hosts ALL

   Hier wurde als RSYSLOGD_RULE_N einfach die 78 gew"ahlt.
   Da es unterschiedliche Dateinamen gibt wirde als dritter Parameter
   ALL genutzt.

   Erzeugt Datei

   rsyslogd_dyn_78

   ...
   /var/log/all_hosts/eistestvirt.fritz.box/eis-install
   /var/log/all_hosts/eistestvirt.fritz.box/messages
   /var/log/all_hosts/logserv.fritz.box/eis-install
   /var/log/all_hosts/logserv.fritz.box/messages {
      daily
      missingok
   ...

Einstellungen beim Uebersetzen der Packages

Mit folgenden Einstellungen wurde der rsyslogd übersetzt (eigentlich konfiguriert):

        --prefix=/usr
        --disable-generate-man-pages
        --enable-imfile
        --enable-mysql
        --enable-relp
        --enable-impstats
        --enable-omprog

	1		View documentation
	2		View changes
	3		Edit configuration
	4		Advanced configuration file handling
	5		Start rsyslogd
	6		Stop rsyslogd
	7		Restart rsyslogd
	8		Reload rsyslogd configuration
	9		Show rsyslogd status
	10		Test rsyslogd configuration
	11		Force start of rsyslogd
	12		Logfile view

	1		View messages
	2		View older messages
	3		View log.eis-install
	4		View older log.eis-install
	0		Return

	10_rsyslogd.conf	Allgemeine Konfigurationsteile
	15_rsyslogd.conf	Konfiguration der 'Global Discard Filter'
		Konfiguration der 'Filter Rules'
	20_rsyslogd.conf	Konfiguration der 'Rule Settings'
	25_rsyslogd.conf	Konfiguration der 'File Input Definitions'

	msg	Meldungs Teil
	hostname	Hostname wie www.ap.de
	fromhost	Sendender Host, bei Meldungen von einem
		anderen Host
	fromhost-ip	IP des sendenden Hosts, bei Meldungen von
		einem anderen Host
	syslogtag	Tag wie sshd[2169] xinetd[1493]
	programname	Programm name wie sshd xinetd

	contains	ist enthalten mit exakter Übereinstimmung
	isequal	ist gleich mit exakter Übereinstimmung
	startswith	beginnt mit exakter Übereinstimmung
	regex	POSIX BRE regulärer Ausdruck
	ereregex	POSIX ERE regulärer Ausdruck
	!contains	Negation von contains
	!isequal	Negation von isequal
	!startswith	Negation von startswith
	!regex	Negation von regex
	!ereregex	Negation von ereregex

	==	ist gleich
	!=	ist ungleich
	<>	ist ungleich
	<	ist kleiner
	>	ist größer
	<=	ist kleiner oder gleich
	>=	ist größer oder gleich
	contains	ist enthalten mit exakter Übereinstimmung
	startswith	beginnt mit exakter Übereinstimmung

	Regular File:	/filename oder -/filename
		(- kein sync nach jedem logging)
	Dynamic filenames:	?/filename oder -?/filename
		filename mit properties
		(- kein sync nach jedem logging)
	Named Pipes:	\|filename
	Terminal and Console:	/dev/ttyname
	Remote Machine:	@host[:Port] / @IP-Adresse[:Port] über UDP oder
	Remote Machine:	@@host[:Port] / @@IP-Adresse[:Port] über TCP
	User or List of Users:	willi oder root,willi
	Everyone logged on:	*
	Discard:	~
	Shell execute:	^program-to-execute
	Database:	>host,database,user,password
	Remote RELP Protokoll:	:omrelp:IP-address:port oder :omrelp:host:port