Externer Logserver
- Thread starter sclenin
- Start date
Ich verwende kein PMG...
...aber die Basis bildet Debian. Ich verwende: https://manpages.debian.org/trixie/systemd-journal-remote/systemd-journal-upload.8.en.html
(Rsyslog ist ja leider deprecated und passt nicht mehr gut zu systemd.)
...aber die Basis bildet Debian. Ich verwende: https://manpages.debian.org/trixie/systemd-journal-remote/systemd-journal-upload.8.en.html
(Rsyslog ist ja leider deprecated und passt nicht mehr gut zu systemd.)
Würde ich auch als eine gute Option sehen!
das mit der deprecation wäre mir neu?
rsyslog wird nicht mehr per default auf Debian GNU/Linux installiert - da der journald doch für vieles die Bessere Wahl ist.
aber es ist nach wie vor installierbar - und bei PMG auch vorhanden, da das Tracking Center die infos aus dem syslog liest (war bei unseren Tests vor ein paar Jahren deutlich effizienter/schneller)
Falls ich was bei rsyslog und deprecation übersehen habe - wäre ich für eine Info sehr dankbar (wäre in dem Fall relevant für PMG)
thx!
Sorry, das war eine ungenaue Aussage und eine falsche Wortwahl. Ich meinte eher:
Offenbar ist systemd/journal das aktuellere Werkzeug, ob man systemd mag oder nicht...
Nur so als Hinweis: Wenn man ein zentrales Logging braucht (z.B. mit Graylog), dann wurde in der Vergangenheit oft empfohlen, rsyslog zu installieren und dort eine Weiterleitung auf Port 514 eines zentralen Logservers zu machen, weil systemd-journald das per default nicht kann.
Was passiert, ist folgendes:
1. systemd-journald schreibt in den Socket und verliert dabei schon Nachrichten ("Forwarding to syslog missed XX messages")
2. rsyslog wird so konfiguriert, das es mit imuxsock oder imjournal den Socket liest und ggf. weiterleitet.
Leider ist die rsyslog-Variante in Debian Trixie in dieser Hinsicht fehlerbehaftet, siehe: https://github.com/rsyslog/rsyslog/issues/5613 und schluckt aufgrund von Rate-Limiting auch noch Einträge.
Aktuell funktionieren auch die beschriebenen Workarounds nicht, mit höheren Rate-Limits funktioniert es zwar, aber die CPU-Last steigt über alle Maßen. Zudem ändert rsyslog ständig die Syntax der Konfigurationsdateien, so dass ältere Beispielkonfigurationen nicht funktionieren.
Zum Glück bietet Debian eine Alternative: systemd-netlogd, was man einfach per apt install system-netlogd installieren kann. Dann einfach in /etc/systemd/netlogd.conf:
Und systemctl restart systemd-netlogd, fertig.
Was passiert, ist folgendes:
1. systemd-journald schreibt in den Socket und verliert dabei schon Nachrichten ("Forwarding to syslog missed XX messages")
2. rsyslog wird so konfiguriert, das es mit imuxsock oder imjournal den Socket liest und ggf. weiterleitet.
Leider ist die rsyslog-Variante in Debian Trixie in dieser Hinsicht fehlerbehaftet, siehe: https://github.com/rsyslog/rsyslog/issues/5613 und schluckt aufgrund von Rate-Limiting auch noch Einträge.
Aktuell funktionieren auch die beschriebenen Workarounds nicht, mit höheren Rate-Limits funktioniert es zwar, aber die CPU-Last steigt über alle Maßen. Zudem ändert rsyslog ständig die Syntax der Konfigurationsdateien, so dass ältere Beispielkonfigurationen nicht funktionieren.
Zum Glück bietet Debian eine Alternative: systemd-netlogd, was man einfach per apt install system-netlogd installieren kann. Dann einfach in /etc/systemd/netlogd.conf:
Code:
[Network]
Address=logserver:514
LogFormat=rfc3339Und systemctl restart systemd-netlogd, fertig.
Last edited: