rsyslog в ubuntu 10.10

[romkaromka]

Хочу вынести ведение логов pppd из /var/log/syslog в /var/log/pppd.log
В ubuntu 10.10 используется rsyslog.
Дописываю в файл /etc/rsyslog.conf строки:

Код: Выделить всё

!pppd
*.*      /var/log/pppd.log

Перезапускаю

Код: Выделить всё

sudo service rsyslog restart
rsyslog start/running, process 3892

но лог /var/log/pppd.log не ведется, хотя если учитывать совместимость конфигов от syslog для rsyslog, то проблем быть не должно, так как это проверенно работает c syslog, но ни в какую не хочет работать с rsyslog.
Кто знает куда копать?

[Rootlexx]

Попробуйте так:

Код: Выделить всё

:programname, isequal, "pppd"
*.*      /var/log/pppd.log

Читайте man rsyslog.conf.

[romkaromka]

не работает

[Rootlexx]

не работает

Покажите /etc/rsyslog.conf и часть журнала pppd.
Добавлено: информация по теме с официальной Wiki: http://wiki.rsyslog.com/index.php/Filtering_by_program_name.

[romkaromka]

/etc/rsyslog.conf:

Код: Выделить всё

#  /etc/rsyslog.conf    Configuration file for rsyslog.
#
#            For more information see
#            /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
#
#  Default logging rules can be found in /etc/rsyslog.d/50-default.conf


#################
#### MODULES ####
#################

 imuxsock # provides support for local system logging
 imklog   # provides kernel logging support (previously done by rklogd)
# immark  # provides --MARK-- message capability

 /proc/kmsg

# provides UDP syslog reception
# imudp
# 514

# provides TCP syslog reception
# imtcp
# 514


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
 RSYSLOG_TraditionalFileFormat

# Filter duplicated messages
 on

#
# Set the default permissions for all log files.
#
 syslog
 adm
 0640
 0755
 0022
 syslog
 syslog

#
# Include all config files in /etc/rsyslog.d/
#
 /etc/rsyslog.d/*.conf
:programname, isequal, "pppd"
*.*      /var/log/pppd.log

/var/log/pppd.log пусто, это же не программа, а демон

[Rootlexx]

это же не программа, а демон

"Демон" не программа?
Что в файлах в /etc/rsyslog.d? Лучше подобные настройки размещать там.
Вариант:

Код: Выделить всё

if $programname == 'pppd' then /var/log/pppd.log

- пробовали?
И всё же покажите пример строки, которая должна записываться в выделенный файл.

[romkaromka]

Все уже перепробовал. Фрагмент /var/log/syslog:

Код: Выделить всё

Oct 19 05:28:19 ubuntu pppd[9909]: Script /etc/ppp/ip-down started (pid 13388)
Oct 19 05:28:19 ubuntu pppd[9909]: sent [LCP TermReq id=0x2 "User request"]
Oct 19 05:28:19 ubuntu pppd[9909]: rcvd [LCP TermAck id=0x2]
Oct 19 05:28:19 ubuntu pppd[9909]: Connection terminated.
Oct 19 05:28:19 ubuntu NetworkManager[9751]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Oct 19 05:28:19 ubuntu xl2tpd[9860]: death_handler: Fatal signal 15 received
Oct 19 05:28:19 ubuntu pppd[9909]: Script /etc/ppp/ip-down finished (pid 13388), status = 0x0

В /etc/rsyslog.d лежат стандартные 20-ufw.conf, 50-defaults.conf - их тоже дописывал, бестолку.

[Rootlexx]

• Попробуйте вместо "isequal" использовать "contains".
• Проверьте также права на желаемый файл журнала.
• Просмотрите имеющиеся журналы на предмет ошибок от rsyslog.

Больше мыслей пока нет.

[romkaromka]

Дописал в /etc/rsyslog.conf:

Код: Выделить всё

:programname, contains, "pppd"
*.*      /var/log/pppd.log

В итоге /var/log/pppd.log стал вестись, но не с тем содержимым. Файл /var/log/pppd.log:

Код: Выделить всё

~$ cat /var/log/pppd.log
2010-10-21T02:19:12.872700-07:00 ubuntu rsyslogd: [origin software="rsyslogd" swVersion="4.2.0" x-pid="4430" x-info="http://www.rsyslog.com"] (re)start
2010-10-21T02:19:12.866305-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866472-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 13
2010-10-21T02:19:12.866475-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866540-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866543-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 14
2010-10-21T02:19:12.866546-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866549-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866552-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 17
2010-10-21T02:19:12.866556-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866559-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866575-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 36
2010-10-21T02:19:12.866577-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866580-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866582-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 39
2010-10-21T02:19:12.866585-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866587-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866590-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 44
2010-10-21T02:19:12.866603-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866606-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866608-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 45
2010-10-21T02:19:12.866610-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866613-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866615-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 46
2010-10-21T02:19:12.866617-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866631-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866634-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 47
2010-10-21T02:19:12.866636-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866639-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866641-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 48
2010-10-21T02:19:12.866643-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866646-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866659-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 49
2010-10-21T02:19:12.866661-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866664-07:00 ubuntu rsyslogd-3000: unknown priority name "" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866666-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 50
2010-10-21T02:19:12.866669-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866672-07:00 ubuntu rsyslogd-3000: unknown priority name "d/*.conf" [try http://www.rsyslog.com/e/3000 ]
2010-10-21T02:19:12.866674-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 55
2010-10-21T02:19:12.866687-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866710-07:00 ubuntu rsyslogd: the last error occured in /etc/rsyslog.conf, line 57
2010-10-21T02:19:12.866712-07:00 ubuntu rsyslogd: warning: selector line without actions will be discarded
2010-10-21T02:19:12.866889-07:00 ubuntu rsyslogd-2123: CONFIG ERROR: could not interpret master config file '/etc/rsyslog.conf'. [try http://www.rsyslog.com/e/2123 ]

[Rootlexx]

Вот содержимое rsyslog.conf по умолчанию:

Код: Выделить всё

#  /etc/rsyslog.conf    Configuration file for rsyslog.
#
#            For more information see
#            /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
#
#  Default logging rules can be found in /etc/rsyslog.d/50-default.conf


#################
#### MODULES ####
#################

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
#$ModLoad immark  # provides --MARK-- message capability

$KLogPath /proc/kmsg

# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Filter duplicated messages
$RepeatedMsgReduction on

#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf

Сравните со своим.
Ваши настройки рекомендую всё-таки держать в отдельных файлах в /etc/rsyslog.d.