Fedora 21 rsyslogd: activation of module imuxsock failed

[Rockitin]

Здравствуйте, други! =)

Настраивал на локальной машинке rsyslog сервер для принятия логов с pfsense и столкнулся с проблемой: rsyslog конфликтует с systemd, - не может подключиться к сокету по адресу /dev/log.

Фрагмент конфигурации rsyslog.conf:

Код: Выделить всё

# rsyslog configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES ####

$ModLoad imuxsock # provides support for local system logging (logger command)
# $ModLoad immark
$ModLoad imtcp
$ModLoad imklog

$InputTCPServerRun 1528

Порт 1528 открыт в iptables и прописан в SELinux чз semanage. При старте выдаёт следующее (/var/log/messages):

Код: Выделить всё

Jun 19 11:08:19 localhost rsyslogd: [origin software="rsyslogd" swVersion="7.4.10" x-pid="5674" x-info="http://www.rsyslog.com"] exiting on signal 15.
Jun 19 11:08:19 localhost rsyslogd: [origin software="rsyslogd" swVersion="7.4.10" x-pid="5710" x-info="http://www.rsyslog.com"] start
Jun 19 11:08:19 localhost rsyslogd: cannot create '/dev/log': Address already in use
Jun 19 11:08:19 localhost rsyslogd: imuxsock does not run because we could not aquire any socket 
Jun 19 11:08:19 localhost rsyslogd-3000: activation of module imuxsock failed

Прощупывая /dev/log,

Код: Выделить всё

ll /dev/log

выдаёт

Код: Выделить всё

lrwxrwxrwx. 1 root root 28 Jun 19  2015 /dev/log -> /run/systemd/journal/dev-log

Где /run/systemd/journal/dev-log занята следующими процессами

Код: Выделить всё

 lsof /run/systemd/journal/dev-log 

=>

Код: Выделить всё

lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfs Output information may be incomplete.

COMMAND   PID USER   FD   TYPE             DEVICE SIZE/OFF NODE NAME
systemd     1 root   34u  unix 0xffff88003685dc00      0t0 2268 /run/systemd/journal/dev-log
systemd-j 493 root    5u  unix 0xffff88003685dc00      0t0 2268 /run/systemd/journal/dev-log

Кто с таким сталкивался и как это лечить? Перерыл гугл: ничего толкового не нашёл.

Система:

Код: Выделить всё

LSB Version:	:core-4.1-amd64:core-4.1-noarch:cxx-4.1-amd64:cxx-4.1-noarch:desktop-4.1-amd64:desktop-4.1-noarch:languages-4.1-amd64:languages-4.1-noarch:printing-4.1-amd64:printing-4.1-noarch
Distributor ID:	Fedora
Description:	Fedora release 21 (Twenty One)
Release:	21
Codename:	TwentyOne

Linux localhost.localdomain 4.0.4-202.fc21.x86_64 #1 SMP Wed May 27 22:28:42 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

[Olej]

Кто с таким сталкивался и как это лечить? Перерыл гугл: ничего толкового не нашёл.

Для начала:
- rsyslogd и journal - полностью альтернативы, journal предназначен заменить rsyslogd... они вполне могут где-то конфликтовать, потому как, в принципе, один из них не нужен...
- journal - это новое творение Ленарта Поттеринга, там многое менялось, до последнего времени, от версии к версии...
- но есть отличное руководство от самого автора, Ленарта Поттеринга, вот здесь его перевод от конца 2014г.: systemd для администраторов, там же есть ссылка на постоянно обновляемый оригинал;

Настраивал на локальной машинке rsyslog сервер для принятия логов с pfsense и столкнулся с проблемой: rsyslog конфликтует с systemd, - не может подключиться к сокету по адресу /dev/log.

Я не разбирался кто такой pfsense и по вашему краткому описанию нельзя понять что вы там настраивали с rsyslogd, но, если вам так нужны возможности rsyslogd, то вы можете просто остановить journal (я так как-то делал когда отлаживал что-то из собственных модулей ядра).
Кстати, неправильно говорить, что "rsyslog конфликтует с systemd", как максимум, rsyslogd если и конфликтует (?), то с journal, а journal - это совершенно независимый придаток к systemd.

[Olej]

Настраивал на локальной машинке rsyslog сервер для принятия логов с pfsense и столкнулся с проблемой: rsyslog конфликтует с systemd, - не может подключиться к сокету по адресу /dev/log.

Кстати, посмотрел по-быстрому что было под рукой:

Код: Выделить всё

bash-4.2$ lsb_release -ircd
Distributor ID:	Fedora
Description:	Fedora release 20 (Heisenbug)
Release:	20
Codename:	Heisenbug

Код: Выделить всё

bash-4.2$ ps -A | grep logd
  471 ?        00:00:04 rsyslogd
bash-4.2$ ps -A | grep jou
  296 ?        00:00:00 systemd-journal

Код: Выделить всё

bash-4.2$ ls -l /dev/log
srw-rw-rw- 1 root root 0 июн 19 09:00 /dev/log

Как-то похоже, что rsyslogd и journal мирно сосуществуют рядом.

[Olej]

Как-то похоже, что rsyslogd и journal мирно сосуществуют рядом.

Ещё смешнее меня озадачил:

Код: Выделить всё

olej@nvidia ~ $ /usr/bin/lsb_release -ircd
Distributor ID:	LinuxMint
Description:	Linux Mint 17.1 Rebecca
Release:	17.1
Codename:	rebecca

Mint / Ubuntu всегда отстают по нововведениям от Fedora:

Код: Выделить всё

olej@nvidia ~ $ uname -a
Linux nvidia 3.13.0-37-generic #64-Ubuntu SMP Mon Sep 22 21:30:01 UTC 2014 i686 i686 i686 GNU/Linux

Код: Выделить всё

olej@nvidia ~ $ ps -A | grep logd
  871 ?        00:00:00 rsyslogd

Код: Выделить всё

olej@nvidia ~ $ ps -A | grep system
  363 ?        00:00:00 systemd-udevd
  949 ?        00:00:00 systemd-logind

Кто такой у них systemd-logind

[Rockitin]

Pfsense - это firewall на базе фряхи (https://www.pfsense.org/), он-то и источает логи, которые мне и нужно принимать в Федоре.
Замечу, в окнах kiwi server log прекрасно работает и принимает логи.
Не хотелось всё же отключать journal: я так понимаю, он тесно работает с systemd, с помощью этих инструментов просто проводить диагностику.
Я пытался поменять сокет rsyslogd:

Код: Выделить всё

$Addunixlistensocket /new_path_to_socket

но при старте rsyslogd выдал ту же ошибку:

Код: Выделить всё

Jun 19 11:08:19 localhost rsyslogd: cannot create '/new_path_to_socket': Address already in use

Кто такой у них systemd-logind

мониторит юзер сессии: http://www.freedesktop.org/software/sys ... rvice.html

В Федоре чуть больше этих демонов)

Код: Выделить всё

[ilya Fri Jun 19 16:37:29]$ ps -A | grep system
    1 ?        00:00:01 systemd
  495 ?        00:00:00 systemd-journal
  544 ?        00:00:00 systemd-udevd
  694 ?        00:00:00 systemd-logind
 1425 ?        00:00:00 systemd

Спасибо, полистаю, конечно, книгу, но найду ли я ответ=)

[Olej]

Не хотелось всё же отключать journal: я так понимаю, он тесно работает с systemd, с помощью этих инструментов просто проводить диагностику.

journal - ничего более, как новая система логирования, предлагаемая в systemd взамен старых *syslog* систем.

Pfsense - это firewall на базе фряхи (https://www.pfsense.org/), он-то и источает логи, которые мне и нужно принимать в Федоре.

Всё, что вы видите в логах rsyslogd вы с таким же успехом должны видеть в логах journal. Независимо от источника (программы) который эти логи кидает.

[Rockitin]

Как тогда насетапить journal, чтобы он слушал определённый порт по tcp/udp, что-то я сомневаюсь, что он может выступать как лог-сервер.

Удалось заставить заработать.
Пришлось отключить сначала сокеты:

Код: Выделить всё

systemctl stop systemd-journald-dev-log.socket
systemctl stop systemd-journald.socket

Перенаправить журнал на другой сокет, как я понял,

Код: Выделить всё

/etc/systemd/journald.conf

=>

Код: Выделить всё

ForwardToSyslog=yes

Перезапустить всё.
Теперь логи пишутся. Всё на первый взгляд работает=)