[gentoo-user-de] syslog-ng und vixie-cron

[gentoo-user-de] syslog-ng und vixie-cron

[Matthias Nimscholz]

[-- Attachment #1.1: Type: text/plain, Size: 697 bytes --]

Guten Tag zusammen,

mich nervt mal wieder mein syslog-ng.
Ich hatte mal eine Möglichkeit gefunden, die ständigen
vixie-cron-Einträge zu filtern.
Leider habe ich meine alte config zersemmelt und wurde auch im Forum
nicht wirklich fündig.
Die Log-Datei wächst mit atemberaubender Geschwindigkeit:

...
cron[15301]: (root) CMD (test -x /usr/sbin/run-crons
&& /usr/sbin/run-crons )
cron[15303]: (root) CMD (rm -f /var/spool/cron/lastrun/cron.hourly)
cron[15474]: (root) CMD (test -x /usr/sbin/run-crons
&& /usr/sbin/run-crons )
...

Kann mir bitte jemand seine Filter-Einstellung in der syslog-ng.conf
mailen - Ihr würdet mir den Tag/Plattenplatz retten

Besten Gruß

Matthias

[-- Attachment #1.2: Type: text/html, Size: 1048 bytes --]

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] syslog-ng und vixie-cron

[Sebastian Damm]

[-- Attachment #1: Type: text/plain, Size: 1157 bytes --]

Hallo,

Am 19. August 2005 schrieb Matthias Nimscholz:
> Kann mir bitte jemand seine Filter-Einstellung in der syslog-ng.conf
> mailen - Ihr würdet mir den Tag/Plattenplatz retten

Die Datei 
/usr/share/doc/syslog-ng-1.6.8/syslog-ng.conf.gentoo.hardened.gz
sollte da eigentlich genug Aufschluss geben. Eine neue
Destination /dev/null anlegen und dann einen Filter. Dann alles was
über diesen Filter kommt, in die neue Destination schicken.

Bzw. sollte auch nur ein Filter, der nicht auf die facility cron
matcht, helfen, um die Einträge wegzubekommen. Den Filter dann in Deine
Standard-Regel einbinden.

Ein kurzer Test mit dem Filter
	filter f_cron { not facility(cron); };
und der Regel
	log { source(src); destination(messages); };
bestätigt dies. Ein Neustart des Cron taucht nicht mehr im Log auf.

Du kannst dann natürlich noch die Cron-Messages irgendwoanders hin
kippen, bspw. /dev/tty12, das verbraucht keinen Speicherplatz.

Ciao
Sebastian
-- 
Sebastian Damm
Blog: http://blog.sdamm.de
GPG-Encrypted mail welcome! ID: 0x64D96827 @ pgpkeys.pca.dfn.de
Fingerprint: CB7F F23F D950 644D 838B  215A 550F 75EC 64D9 6827

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] syslog-ng und vixie-cron

[Matthias Nimscholz]

[-- Attachment #1.1: Type: text/plain, Size: 1590 bytes --]

Hallo Sebastian
Herzlichen Dank für die schnelle Antwort

Ich habe grade mit:

filter f_not_cron { not facility(cron); }; 
log { source(src); filter(f_not_cron); destination(messages); }; 
log { source(src); filter(f_not_cron); destination(console_all); };

rumgespielt. Ich habe  noch ein filter in die log-Zeilen eingebaut, da
sonst doch noch was durch kam.
Das scheint mir aber etwas regiede zu sein, da jetzt alles von Cron
gekillt wird (auch Fehler).

Gruß

Matthias

Am Freitag, den 19.08.2005, 10:55 +0200 schrieb Sebastian Damm:

> Hallo,
> 
> Am 19. August 2005 schrieb Matthias Nimscholz:
> > Kann mir bitte jemand seine Filter-Einstellung in der syslog-ng.conf
> > mailen - Ihr würdet mir den Tag/Plattenplatz retten
> 
> Die Datei 
> /usr/share/doc/syslog-ng-1.6.8/syslog-ng.conf.gentoo.hardened.gz
> sollte da eigentlich genug Aufschluss geben. Eine neue
> Destination /dev/null anlegen und dann einen Filter. Dann alles was
> über diesen Filter kommt, in die neue Destination schicken.
> 
> Bzw. sollte auch nur ein Filter, der nicht auf die facility cron
> matcht, helfen, um die Einträge wegzubekommen. Den Filter dann in Deine
> Standard-Regel einbinden.
> 
> Ein kurzer Test mit dem Filter
> 	filter f_cron { not facility(cron); };
> und der Regel
> 	log { source(src); destination(messages); };
> bestätigt dies. Ein Neustart des Cron taucht nicht mehr im Log auf.
> 
> Du kannst dann natürlich noch die Cron-Messages irgendwoanders hin
> kippen, bspw. /dev/tty12, das verbraucht keinen Speicherplatz.
> 
> Ciao
> Sebastian

[-- Attachment #1.2: Type: text/html, Size: 2542 bytes --]

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] syslog-ng und vixie-cron

[Sebastian Damm]

[-- Attachment #1: Type: text/plain, Size: 1078 bytes --]

Hallo,

Am 19. August 2005 schrieb Matthias Nimscholz:
> Das scheint mir aber etwas regiede zu sein, da jetzt alles von Cron
> gekillt wird (auch Fehler).

Das hab ich so verstanden in Deiner Mail, dass Du das wolltest. Naja,
Du kannst in den Filter auch noch eine level-Bedingung wie 
	level(info..warn)
einbauen (mit and verknüpfen), so dass eigentlich Fehler durchkommen
sollten. Allerdings hab ich keine Ahnung, ob vixie-cron auch Fehler
entsprechend kennzeichnet.

Weiteres Lesen der von mir angegebenen doc-Datei hat mich auch noch
zu Versuchen wie
	match("^cron.*:.*/usr/sbin/run-crons.*");
verleitet. Eine Mal eben zusammengehackte Zeile 

filter f_not_cron { not match("^cron.*:.*\/usr\/sbin\/run-crons.*") and not match("^cron.*:.*\/var\/spool\/cron\/lastrun\/.*"); };

hat bei mir erfolgreich die aller zehn Minuten auftretende Zeile
unterdrückt.

Ciao
Sebastian
-- 
Sebastian Damm
Blog: http://blog.sdamm.de
GPG-Encrypted mail welcome! ID: 0x64D96827 @ pgpkeys.pca.dfn.de
Fingerprint: CB7F F23F D950 644D 838B  215A 550F 75EC 64D9 6827

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] syslog-ng und vixie-cron

[Matthias Nimscholz]

[-- Attachment #1.1: Type: text/plain, Size: 853 bytes --]

Am Freitag, den 19.08.2005, 12:37 +0200 schrieb Sebastian Damm:

> Am 19. August 2005 schrieb Matthias Nimscholz:
> > Das scheint mir aber etwas regiede zu sein, da jetzt alles von Cron
> > gekillt wird (auch Fehler).
> 
> Das hab ich so verstanden in Deiner Mail, dass Du das wolltest.


Stimmt, die Bedenken kamen mir erst hinterher. Manchmal erschrecke ich
mich selbst vor meiner Courage *g*


> filter f_not_cron { not match("^cron.*:.*\/usr\/sbin\/run-crons.*") and not match("^cron.*:.*\/var\/spool\/cron\/lastrun\/.*"); };

(müßte es nicht "or not match" heißen, damit beide Bedingungen
abgefangen werden - nicht die Verknüpfung beider Bedingungen? Wir
filtern doch mit "not match". Ich muß mich unbedingt in die Materie
einfuchsen. Betrüblich, wie wenig Ahnung ich doch von manchen Sachen
habe!)

Danke nochmal

Matthias

[-- Attachment #1.2: Type: text/html, Size: 1422 bytes --]

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] syslog-ng und vixie-cron

[Sebastian Damm]

[-- Attachment #1: Type: text/plain, Size: 1682 bytes --]

Hallo,

Am 19. August 2005 schrieb Matthias Nimscholz:
> (müßte es nicht "or not match" heißen, damit beide Bedingungen
> abgefangen werden - nicht die Verknüpfung beider Bedingungen? Wir
> filtern doch mit "not match". Ich muß mich unbedingt in die Materie
> einfuchsen. Betrüblich, wie wenig Ahnung ich doch von manchen Sachen
> habe!)

Nach nochmal drüber nachdenken: Nein, es muss schon 'and' dazwischen
sein. Denn es darf ja weder das erste noch das zweite drinstehen, um im
Log zu landen. Bei einem Positiv-Matching sollte da ein 'or' stehen.
Kannst es natürlich auch klammern mit einem 'not' vor der Klammer, dann
sollte in der Klammer 'or' stehen. Falls das mit der Klammerung
überhaupt geht. 

Mal vereinfacht dargestellt, x und y sind die beiden Matchings, der
Filter muss falsch sein, damit das Loggen unterdrückt wird. Also muss
am Ende eine 0 stehen.

(not x) and (not y)			(not x) or (not y)

			Jetzt sei x=1, y=0
(not 1) and (not 0) = 0			(not 1) or (not 0) = 1
		Bei x=0, y=1 passiert das selbe.
			Jetzt sei x=1, y=1
(not 1) and (not 1) = 0			(not 1) or (not 1) = 0

Du siehst, mit 'oder' verknüpft würde nur nicht geloggt, wenn beide
Matchings passen. Mit 'und' verknüpft wird auch dann nicht geloggt, wenn
nur eines passt.

Und zur Ahnung: Bis vor 3h hatte ich mich damit auch noch nie befasst.
Aber ich nutze immer solche Anfragen hier, um mal reinzuschnuppern und
dann sagen zu können "Ja, damit hab ich schonmal was gemacht."

Ciao
Sebastian
-- 
Sebastian Damm
Blog: http://blog.sdamm.de
GPG-Encrypted mail welcome! ID: 0x64D96827 @ pgpkeys.pca.dfn.de
Fingerprint: CB7F F23F D950 644D 838B  215A 550F 75EC 64D9 6827

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]