Чиним rsyslog в Ubuntu 12

В Ubuntu 12 с логированием системных действий в случае с Rsyslog возникают неочевидные проблемы, приводящие к отсутствию логирования или его частичной работе, поэтому необходимо его просто удалить, заменив более надёжным Sysklog.

Удаляем rsyslog и устанавливаем sysklog:

sudo aptitude purge rsyslog
sudo aptitude install sysklogd

Теперь необходимо заменить вызовы rsyslog. Во всех конфигурациях logrotate (хранятся в каталоге /etc/logrotate.d/) найдите и замените строку:

service rsyslog reload

на

service sysklogd reload

Если вы воспользовались для настройки iptables статьей http://ubuntuclub.org/zashhita-servera-ot-nesanktsionirovannogo-dostupa-nastraivaem-brandmauer-na-ubuntu/ — то поправьте настройки фильтрации сообщений syslog:

sudo nano /etc/syslog.conf

В самом начале необходимо добавить:

kern.warning   /var/log/iptables.log

Заменить

*.*;auth,authpriv.none          -/var/log/syslog

kern.*              -/var/log/kern.log

*.=info;*.=notice;*.=warning;\
        auth,authpriv.none;\
        cron,daemon.none;\
        mail,news.none          -/var/log/messages

на

*.*;auth,authpriv.none;kern.!=warn          -/var/log/syslog

kern.*;kern.!=warn              -/var/log/kern.log

*.=info;*.=notice;*.=warning;\
        auth,authpriv.none;\
        cron,daemon.none;\
        mail,news.none;kern.!=warn          -/var/log/messages

и перезагрузить sysklog

sudo /etc/init.d/sysklogd restart

После этого в iptables.log наконец побегут сообщения об отвергнутых атаках китайских ботнетов на ваш сервер.

on ubuntu, syslog, rsyslog, sysklog, logrotate