Syslog Server aufsetzen (OpenBSD 4.6)

H

Havoc][

OpenBSD und Gentoo'ler
Hallo Zusammen,

ich möchte meine Router und Switches auf einen Syslogserver loggen lassen. Dieser sollte unter OpenBSD laufen. Aber aus irgendeinem Grund funktioniert es nicht. Es wird keine Logdatei angelegt oder (wenn ich sie manuell touche) darin Einträge geschrieben.

Folgendes hab ich bereits getan:
rc.conf.local (in der rc.conf ist der Parameter leer. Also syslogd_flags="")
Code: 
[...]
syslogd_flags="-u"
[...]

syslog.conf (auf der Bintec habe ich mehrfach überprüft das es sich um die facility local5 handelt):
Code: 
[...]
local5.*                 /var/log/uran
[...]

Nach einem restart (habe sowohl den kompletten Server neu gestartet, als auch nur den Prozess mit -HUP) sieht die Prozessliste so aus:
Code: 
root@maggie log# ps aux | grep sys
root     25172  0.0  1.1   444   724 ??  Is     7:15PM    0:00.72 syslogd: [priv] (syslogd)
_syslogd 19004  0.0  1.1   404   740 ??  I      7:15PM    0:00.76 syslogd -u -a /var/www/dev/log -a /var/named/dev/log -a /var/empty/dev/log
root@maggie log#

pf ist auf der lokalen Maschiene aus. Firewall vorne dran, läßt das Paket aber korrekt passieren. So sieht der TCPDump auf der lokalen Maschiene aus:
Code: 
root@maggie log# tcpdump -n port 514
tcpdump: listening on vic0, link-type EN10MB
21:36:54.319983 81.160.141.143.1007 > 10.10.10.4.514: udp 79
^C
1061 packets received by filter
0 packets dropped by kernel
root@maggie log#

Netstat sieht auch gut aus, wobei ich gelesen hab das selbst im "secure" Modus der Socket gebunden, danach aber irgendwie "heruntergefahren" wird:
Code: 
root@maggie log# netstat -an | grep 514
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
udp        0      0  *.514                  *.*
root@maggie log#

Wenn ich den Syslogd manuell starte (mit -d) dann erhalte ich folgendes:
Code: 
root@maggie log# syslogd -d
off & running....
init
[priv]: msg PRIV_CONFIG_MODIFIED received
[priv]: msg PRIV_OPEN_CONFIG received
cfline("*.notice;auth,authpriv,cron,ftp,kern,lpr,mail,user.none /var/log/messages", f, "*")
[priv]: msg PRIV_OPEN_LOG received
cfline("kern.debug;syslog,user.info                             /var/log/messages", f, "*")
cfline("auth.info                                               /var/log/authlog", f, "*")
[priv]: msg PRIV_OPEN_LOG received
cfline("authpriv.debug                                          /var/log/secure", f, "*")
[priv]: msg PRIV_OPEN_LOG received
cfline("cron.info                                               /var/cron/log", f, "*")
[priv]: msg PRIV_OPEN_LOG received
cfline("daemon.info                                             /var/log/daemon", f, "*")
[priv]: msg PRIV_OPEN_LOG received
cfline("ftp.info                                                /var/log/xferlog", f, "*")
[priv]: msg PRIV_OPEN_LOG received
cfline("lpr.debug                                               /var/log/lpd-errs", f, "*")
[priv]: msg PRIV_OPEN_LOG received
cfline("mail.info                                               /var/log/maillog", f, "*")
[priv]: msg PRIV_OPEN_LOG received
cfline("local5.*                 /var/log/uran", f, "*")
cfline("*.emerg                                                 *", f, "*")
7 6 X 5 X 6 X 5 5 X X X 5 5 5 5 5 5 5 5 5 5 5 5 X FILE: /var/log/messages
X X X X 6 X X X X X X X X X X X X X X X X X X X X FILE: /var/log/authlog
X X X X X X X X X X 7 X X X X X X X X X X X X X X FILE: /var/log/secure
X X X X X X X X X 6 X X X X X X X X X X X X X X X FILE: /var/cron/log
X X X 6 X X X X X X X X X X X X X X X X X X X X X FILE: /var/log/daemon
X X X X X X X X X X X 6 X X X X X X X X X X X X X FILE: /var/log/xferlog
X X X X X X 7 X X X X X X X X X X X X X X X X X X FILE: /var/log/lpd-errs
X X 6 X X X X X X X X X X X X X X X X X X X X X X FILE: /var/log/maillog
X X X X X X X X X X X X X X X X X X X X X 8 X X X USERS:
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 X WALL:
[priv]: msg PRIV_DONE_CONFIG_PARSE received
logmsg: pri 056, flags 0x4, from maggie, msg syslogd: start
Logging to FILE /var/log/messages
syslogd: started
Danach kommt nichts mehr. Das einzige was mir auffällt ist das die Meldung "[priv]: msg PRIV_OPEN_LOG received" nach der "neuen" log datei /var/log/uran nicht kommt.

Kann mir also jemand sagen was ich falsch gemacht habe? Ist das vielleicht ein Bug im Syslog von OpenBSD 4.6?

Vielen Dank im Vorraus.

Havoc][
 
in -current versucht er auf jeden Fall, auf die Datei zuzugreifen, mußte sie allerdings händisch anlegen:

[priv]: msg PRIV_OPEN_LOG received
cfline("local5.* /var/log/uran", f, "*")
[priv]: msg PRIV_OPEN_LOG received

habe nur die Zeile direkt unter den ersten Block gehängt.

vielleicht irgendein Leerzeichen oder komischer Zeilenumruch, ein fehlender tab...
 
SeppoE schrieb:
[...]
vielleicht irgendein Leerzeichen oder komischer Zeilenumruch, ein fehlender tab...
Zum Vergrößern anklicken....
Ich fasse es nicht.
Es lag tatsächlich an fehlenden Tabs.

Ich habe die Zeile zuerst noch einmal neu getippt und es (wie du) unter den ersten Block gehängt. Das hat jedoch nichts gebracht. Die Zeichen zwischen Facility und Pfad sind bei mir Leerzeichen gewesen. Als ich aber einen funktionierenden Eintrag (der mit Tabs voneinander getrennt ist) kopiert habe, hat es nach einem neustart des Syslog Servers einwandfrei funktioniert.

In der Manpage habe ich dann jetzt gelesen:
Code: 
The selector field is separated from the action field by one or more tab characters.

Wenn man den "vi" mit "expandtab" verwendet ist das mit den Tabs halt irgendwie schlecht :-).

Vielen Dank für die Hilfe. Darauf wäre ich nicht gekommen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben