Problemas com loganalyzer [RESOLVIDO]

cleitoncsl
(usa CentOS)

Enviado em 05/01/2013 - 13:43h

Boa Tarde aos amigos do Viva ao linux.

Estou instalando rsyslog juntamente com loganalyzer. Entretanto está ocorrendo um erro no qual o loganalyzer não consegue localizar o arquivo messages dentro de /var/log/messages.

Obs.: O arquivo existe porém loganalyzer não consegue localizar o mesmo.

Gostaria muito do conhecimento dos amigos do forum sobre esse problema.

Segue print:

https://lh5.googleusercontent.com/-5jDZpWFrWhk/UOhGODqETBI/AAAAAAAACvg/_yPRPvP3FH0/s657/Captura_de_t...

Link de referencia: http://www.vivaolinux.com.br/artigo/Rsyslog-Gerenciamento-centralizado-de-logs?pagina=1


Segue as informações do meu servidor de teste:

#rpm -qa | grep -i syslog
rsyslog-mysql-5.8.10-2.el6.x86_64
rsyslog-5.8.10-2.el6.x86_64

CENTOS 6.3
LogAnalyzer 3.6.1 (v3-stable)

[root@localhost ~]# ps ux | grep rsyslog
root 7556 0.0 0.0 532164 3580 ? Sl 12:57 0:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
root 9185 0.0 0.0 103252 840 pts/0 S+ 13:40 0:00 grep rsyslog


[root@localhost ~]# netstat -tulpen | grep rsyslog
tcp 0 0 0.0.0.0:514 0.0.0.0:* OUÇA 0 64963 7556/rsyslogd
tcp 0 0 :::514 :::* OUÇA 0 64964 7556/rsyslogd
udp 0 0 0.0.0.0:514 0.0.0.0:* 0 64957 7556/rsyslogd
udp 0 0 :::514 :::* 0 64958 7556/rsyslogd

Último log no arquivo /var/log/messages

Jan 5 13:05:53 localhost abrtd: O email foi enviado para: root@localhost
Jan 5 13:05:53 localhost abrtd: New problem directory /var/spool/abrt/ccpp-2013-01-05-13:05:39-7844, processing
Jan 5 13:11:52 localhost ntpd[2242]: synchronized to 200.20.186.76, stratum 1
Jan 5 13:21:01 localhost ntpd[2242]: synchronized to 200.186.125.195, stratum 1
Jan 5 13:28:06 localhost kernel: lo: Disabled Privacy Extensions
Jan 5 13:40:53 localhost test: my syslog-test-message



Muito Obrigado.

danniel-lara
(usa Fedora)

Enviado em 05/01/2013 - 13:45h

o mysql esta rodando ?

cleitoncsl
(usa CentOS)

Enviado em 05/01/2013 - 14:14h

Está sim, Inclusive durante a instalação ele criou as tabelas necessários dentro do Mysql

danniel-lara
(usa Fedora)

Enviado em 05/01/2013 - 14:21h

poste ai o seu /etc/rsyslog.conf

cleitoncsl
(usa CentOS)

Enviado em 05/01/2013 - 14:27h

Certo aqui está

# rsyslog v5 configuration file



# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html

# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html



#### MODULES ####



$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog   # provides kernel logging support (previously done by rklogd)

$ModLoad immark  # provides --MARK-- message capability



# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514



# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514





#### GLOBAL DIRECTIVES ####



# Use default timestamp format

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat



# File syncing capability is disabled by default. This feature is usually not required,

# not useful and an extreme performance hit

#$ActionFileEnableSync on



# Include all config files in /etc/rsyslog.d/

$IncludeConfig /etc/rsyslog.d/*

$ModLoad ommail

$ModLoad ommysql

authpriv.* :ommysql:127.0.0.1,Syslog,rsyslog,cr41698345



#### RULES ####



# Log all kernel messages to the console.

# Logging much else clutters up the screen.

#kern.*                                                 /dev/console



# Log anything (except mail) of level info or higher.

# Don't log private authentication messages!

*.info;mail.none;authpriv.none;cron.none                /var/log/messages



# The authpriv file has restricted access.

authpriv.*                                              /var/log/secure



# Log all the mail messages in one place.

mail.*                                                  -/var/log/maillog





# Log cron stuff

cron.*                                                  /var/log/cron



# Everybody gets emergency messages

*.emerg                                                 *



# Save news errors of level crit and higher in a special file.

uucp,news.crit                                          /var/log/spooler



# Save boot messages also to boot.log

local7.*                                                /var/log/boot.log





# ### begin forwarding rule ###

# The statement between the begin ... end define a SINGLE forwarding

# rule. They belong together, do NOT split them. If you create multiple

# forwarding rules, duplicate the whole block!

# Remote Logging (we use TCP for reliable delivery)

#

# An on-disk queue is created for this action. If the remote host is

# down, messages are spooled to disk and sent when it is up again.

#$WorkDirectory /var/lib/rsyslog # where to place spool files

#$ActionQueueFileName fwdRule1 # unique name prefix for spool files

#$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)

#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown

#$ActionQueueType LinkedList   # run asynchronously

#$ActionResumeRetryCount -1    # infinite retries if host is down

# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional

#*.* @@remote-host:514

# ### end of the forwarding rule ###



 

cleitoncsl
(usa CentOS)

Enviado em 06/01/2013 - 19:29h

Alguem pode ajudar?

cleitoncsl
(usa CentOS)

Enviado em 08/01/2013 - 01:04h

Aparece seguinte erro durante a pesquisa
File is not readable, possibly denied read access

paulo1205
(usa Ubuntu)

Enviado em 08/01/2013 - 04:46h

Essa mensagem de erro é bem diferente da indicação que você deu originalmente. Não conseguir ler é bem diferente de não conseguir encontrar.

Se você já tiver descartado possíveis interferências do SELinux, é bem provável que os arquivos só tenham premissão de acesso para o root ou um usuário específico, e que o usuário do loganalyzer (ou do web server) seja diferente. Como ninguém é obviamente louco a ponto de rodar um sistema web como root, talvez você tenha de afrouxar um pouco as restrições de de leitura ao arquivo.

Mas por que isso seria relevante? Numa configuração rsyslog+MySQL+loganalyzer, eu esperaria que o o loganalyzer pegasse os logs de dentro do banco, em lugar de diretamente no(s) arquivo(s) bruto(s) do rsyslog.

cleitoncsl
(usa CentOS)

Enviado em 08/01/2013 - 10:08h

paulo1205

Obrigado pela orientação.

Por favor como poderia fazer para que as informações do arquivo /var/log/messages fossem enviadas para o BANCO?

paulo1205
(usa Ubuntu)

Enviado em 08/01/2013 - 20:48h

Eu sei que o rsyslog tem como enviar logs para o MySQL, e sou usuário dessa configuração no meu trabalho, mas nunca configurei isso pessoalmente. Em todo caso, uma busca no Google revelou uma porção de HowTos.