[Eisfair] eis1 loggt doppelt

Ansgar Püster ansgar.puester at netcologne.de
Do Mär 26 09:13:49 CET 2015 

Hallo Uwe,

Peter hat das wesentliche Problem deiner Konfiguration
schon genannt.

Hier noch einige weitere Anmerkungen.

Ein SYSLOG_DEST Block ist in der Sprache der Konfiguration
(siehe z.B. http://linux.die.net/man/5/syslog.conf) eigentlich
eine Regel (rule).
Jede Regel hat eine oder mehrere Selektoren (selector) und
eine Aktion (action), hier z.B. die Ausgabe in eine Datei.

Wichtig:
Alle Eingabezeilen des Loggings, unterschieden durch
facility und priority werden allen Regeln angeboten.
Die Selektoren bestimmen, welche Zeilen dann an die Aktion,
z.B. in die Datei, gelangen. Die Selektoren werden über
UND verknüpft.

Am 25.03.2015 um 19:12 schrieb Uwe Kunze:
> Hallo Ansgar,
>
>> grep SYSLOG /etc/config.d/base
>
> START_SYSLOGD='yes'
> SYSLOGD_DEST_N='4'
> SYSLOGD_DEST_1_NAME=''
> SYSLOGD_DEST_1_ACTIVE='yes'
> SYSLOGD_DEST_1_SOURCE_N='3'
> SYSLOGD_DEST_1_SOURCE_1_NAME=''
> SYSLOGD_DEST_1_SOURCE_1_ACTIVE='yes'
> SYSLOGD_DEST_1_SOURCE_1='*.*'
> SYSLOGD_DEST_1_SOURCE_2_NAME='eis-install'
> SYSLOGD_DEST_1_SOURCE_2_ACTIVE='yes'
> SYSLOGD_DEST_1_SOURCE_2='local5.!=info'
> SYSLOGD_DEST_1_SOURCE_3_NAME='*.*'
> SYSLOGD_DEST_1_SOURCE_3_ACTIVE='yes'
> SYSLOGD_DEST_1_SOURCE_3='local7.info'

Hier werden
- alle Kombinationen facility/priority genutzt
   aber die Kombination local5.info ausgefilter
   und dann noch einmal (überflüssigerweise)
       local7.info erlaubt.

> SYSLOGD_DEST_1_TARGET='/var/log/messages'
> SYSLOGD_DEST_1_PREROTATE_CMD=''
> SYSLOGD_DEST_1_POSTROTATE_CMD='/etc/init.d/syslogd --quiet restart'

Das Ganze "landet" in /var/log/messages.
SYSLOGD_DEST_1_SOURCE_3 ist meines Erachtens überflüssig.

> SYSLOGD_DEST_2_NAME='eis-install'
> SYSLOGD_DEST_2_ACTIVE='yes'
> SYSLOGD_DEST_2_SOURCE_N='1'
> SYSLOGD_DEST_2_SOURCE_1_NAME='eis-install'
> SYSLOGD_DEST_2_SOURCE_1_ACTIVE='yes'
> SYSLOGD_DEST_2_SOURCE_1='local5.info'
> SYSLOGD_DEST_2_TARGET='/var/log/log.eis-install'
> SYSLOGD_DEST_2_PREROTATE_CMD=''
> SYSLOGD_DEST_2_POSTROTATE_CMD=''

Hier wird local5.info _und_ auch alle höherwertigen Messages
(also emerg, alert, crit, err, warning und notice) gefiltert
und nach /var/log/log.eis-install geleitet.
Meines Erachtens sollte der Selektor 'local5.=info' sein.

> SYSLOGD_DEST_3_NAME=''
> SYSLOGD_DEST_3_ACTIVE='yes'
> SYSLOGD_DEST_3_SOURCE_N='1'
> SYSLOGD_DEST_3_SOURCE_1_NAME=''
> SYSLOGD_DEST_3_SOURCE_1_ACTIVE='yes'
> SYSLOGD_DEST_3_SOURCE_1='local7.*'
> SYSLOGD_DEST_3_TARGET='/var/log/antispam*.log'
> SYSLOGD_DEST_3_PREROTATE_CMD=''
> SYSLOGD_DEST_3_POSTROTATE_CMD='/etc/init.d/antispam -quiet restart'

Hier werden _alle_ priorities von local7 nach
/var/log/antispam*.log geleitet.
Die Angabe '/var/log/antispam*.log' ist irgendwie merkwürdig.
Ist da wirklich ein * im Dateinamen?

> SYSLOGD_DEST_4_NAME=''
> SYSLOGD_DEST_4_ACTIVE='yes'
> SYSLOGD_DEST_4_SOURCE_N='2'
> SYSLOGD_DEST_4_SOURCE_1_NAME=''
> SYSLOGD_DEST_4_SOURCE_1_ACTIVE='yes'
> SYSLOGD_DEST_4_SOURCE_1='*.*'
> SYSLOGD_DEST_4_SOURCE_2_NAME=''
> SYSLOGD_DEST_4_SOURCE_2_ACTIVE='yes'
> SYSLOGD_DEST_4_SOURCE_2='local7.none'
> SYSLOGD_DEST_4_TARGET='/var/log/messages'
> SYSLOGD_DEST_4_PREROTATE_CMD=''
> SYSLOGD_DEST_4_POSTROTATE_CMD='/etc/init.d/syslogd --quiet restart'

Hier werden
- _erneut_ alle Kombinationen facility/priority genutzt
   und noch einmal überflüssigerweise 'local7.none'
Diese gesamte Regel erzeugt meines Erachtens die doppelten Meldungen.
Versuch mal diese Regel zu deaktivieren (SYSLOGD_DEST_4_ACTIVE='no')
und schau dir das Ergebnis an.

> SYSLOGD_DEST_5_NAME=''
> SYSLOGD_DEST_5_ACTIVE='yes'
> SYSLOGD_DEST_5_SOURCE_N='1'
> SYSLOGD_DEST_5_SOURCE_1_NAME=''
> SYSLOGD_DEST_5_SOURCE_1_ACTIVE='yes'
> SYSLOGD_DEST_5_SOURCE_1='kern.info'
> SYSLOGD_DEST_5_TARGET='/var/log/infos'
> SYSLOGD_DEST_5_PREROTATE_CMD=''
> SYSLOGD_DEST_5_POSTROTATE_CMD=''
> SYSLOGD_MARK_INTERVAL='0'
> SYSLOGD_LOG_COUNT='10'
> SYSLOGD_LOG_INTERVAL='monthly'
> SYSLOGD_OPTIONS=''

Hier werden die Meldungen der Kombination kern.info
zusätzlich noch einmal nach '/var/log/infos' geleitet.
Die Regel ist aber wegen SYSLOGD_DEST_N='4' nicht
aktiv.

>> Wo, in welcher Datei, sind die doppelten Logeinträge?
>> Kannst du bitte einige Beispiele hier posten.
>
> /var/log/messages, z.B. Laden des FritzCard-Treibers:
>
> Mar 25 18:03:46 eis kernel: kcapi: controller [001]: f1pci-bc00-21 attached
> Mar 25 18:03:46 eis kernel: kcapi: controller [001]: f1pci-bc00-21 attached
> Mar 25 18:03:46 eis kernel: kcapi: controller [001] "f1pci-bc00-21" ready.
> Mar 25 18:03:46 eis kernel: kcapi: controller [001] "f1pci-bc00-21" ready.
> Mar 25 18:03:46 eis kernel: f1pci: Loaded.
> Mar 25 18:03:46 eis kernel: f1pci: Loaded.
>
> /var/log/messages, laufende Logeinträge
>
> Mar 25 18:11:01 eis in.imapproxyd[5017]: LOGOUT: 'xxx' from server sd [11]
> Mar 25 18:11:01 eis in.imapproxyd[5017]: LOGOUT: 'xxx' from server sd [11]
> Mar 25 18:11:44 eis xinetd[2154]: START: imap4
> Mar 25 18:11:44 eis xinetd[2154]: START: imap4
>
>
> Konsequent jede Zeile doppelt ... Bootmeldungen, normale Programmeldungen.
>
>
> Andere Logfiles (apache, exim, samba, log.eis-install usw.) sind nicht
> betroffen, nur das "messages"-File.
>
> Bei ein paar Reboots heute (zum Testen) ist mir noch aufgefallen, dass
> fcron beim Booten 2x gestartet werden soll ... der Bootscreen zeigt
> zwischendurch "Warn" an, weil fcron gestartet werden soll, aber bereit
> läuft (direkt nach den Startmeldungen von xinetd und sshd).
>
> Ich hab noch nicht herausgefunden, welches Script den fcron "zusätzlich"
> starten will.
> Kann da ein Zusammenhang mit den doppelten Logzeilen bestehen ?
>
> Gruß Uwe.

Zu deinem fcron Problem kann ich nicht sagen. Sorry.

So weit erst mal.
Gruß,
Ansgar

Mehr Informationen über die Mailingliste Eisfair