logdigest meldet unmengen Daten
Hallo zusammen seit meinem Upgrade von 15.4 nach 15.5 bekomme ich jeden Tag Mails von Root meines Servers mit sehr viel Inhalt. Auszug siehe unten. Wie kann ich das sinnvoll abstellen ? Auf meinen beiden anderen Rechnern mit 15.5 bekomme ich das nicht. Habe ich wo was versaut ? Danke für Tipps Werner Franke Subject: logdigest localhost 615 lines 2023-08-15T00:00:11.259476+02:00 localhost sudo: pam_systemd(sudo:session): Failed to stat() runtime directory '/run/user/0': No such file or directory : : : 2023-08-15T00:00:53.194163+02:00 localhost systemd[1]: logrotate.service: Main process exited, code=exited, status=1/FAILURE 2023-08-15T00:00:53.194357+02:00 localhost systemd[1]: logrotate.service: Failed with result 'exit-code'. 2023-08-15T00:00:53.195062+02:00 localhost systemd[1]: Failed to start Rotate log files. 2023-08-15T00:05:10.797104+02:00 localhost sudo: pam_systemd(sudo:session): Failed to stat() runtime directory '/run/user/0': No such file or directory : : : 21462 lines 2023-08-15T00:00:09.197557+02:00 localhost systemd[1]: Reloaded System Logging Service. 2023-08-15T00:00:11.213138+02:00 localhost sudo: munin : PWD=/ ; USER=root ; COMMAND=/usr/sbin/hdparm -C /dev/sdb 2023-08-15T00:00:11.213858+02:00 localhost sudo: pam_kwallet5(sudo:setcred): pam_kwallet5: pam_sm_setcred 2023-08-15T00:00:11.241488+02:00 localhost systemd[1]: Started Session c8851 of User root. 2023-08-15T00:00:11.259699+02:00 localhost sudo: pam_systemd(sudo:session): Not setting $XDG_RUNTIME_DIR, as the directory is not in order. 2023-08-15T00:00:11.259820+02:00 localhost sudo: pam_unix(sudo:session): session opened for user root by (uid=446) 2023-08-15T00:00:11.259936+02:00 localhost sudo: pam_kwallet5(sudo:session): pam_kwallet5: pam_sm_open_session 2023-08-15T00:00:11.260123+02:00 localhost sudo: pam_kwallet5(sudo:session): pam_kwallet5: not a graphical session, skipping. Use force_run parameter to ignore this. 2023-08-15T00:00:11.272988+02:00 localhost sudo: pam_unix(sudo:session): session closed for user root : : : 22588 lines 2023-08-15T00:02:01.696592+02:00 localhost dovecot: lda(23228): Fatal: Namespace '': Mail storage autodetection failed with home=/home/admin 2023-08-15T00:02:01.711936+02:00 localhost postfix/local[23227]: warning: 955B540999: defer service failure 2023-08-15T00:02:01.712101+02:00 localhost postfix/local[23227]: 955B540999: to=<admin@localhost>, orig_to=<admin>, relay=local, delay=0.13, delays=0.06/0.01/0/0.06, dsn=4.3.0, status=deferred (temporary failure. Command output: lda(admin): Error: net_connect_unix(/var/run/dovecot/stats-writer) failed: Permission denied ) 2023-08-15T00:08:31.914387+02:00 localhost dovecot: lda(23649): Fatal: Namespace '': Mail storage autodetection failed with home=/home/admin 2023-08-15T00:08:31.935439+02:00 localhost postfix/local[23648]: warning: 955B540999: defer service failure 2023-08-15T00:08:31.935551+02:00 localhost postfix/local[23648]: 955B540999: to=<admin@localhost>, orig_to=<admin>, relay=local, delay=390, delays=390/0.04/0/0.06, dsn=4.3.0, status=deferred (temporary failure. Command output: lda(admin): Error: net_connect_unix(/var/run/dovecot/stats-writer) failed: Permission denied ) 2023-08-15T00:18:32.409979+02:00 localhost dovecot: lda(24911): Fatal: Namespace '': Mail storage autodetection failed with home=/home/admin : : :
Am 15.08.23 um 19:27 schrieb Werner Franke:
Nachtrag: auf den anderen Rechnern bekomme ich das nicht, weil logdigest da nicht installiert ist. Ich kann mich aber auch nicht erinnern, das auf dem Server installiert zu haben. Es könnte im Zuge eines anderen Paketes mitgekommen sein. Deinstallieren ? Gruss Werner
Hallo Ulf, Am 15.08.23 um 20:46 schrieb Ulf Volmer:
Die Datei /etc/logdigest/ignore.local habe ich auch gesehen, aber da müsste ich erst einmal sehr viele RegEx reinpacken, damit die aktuell gemeldeten Zeilen nicht mehr gemeldet werden. Mich wundert halt, dass diese Meldungen jetzt plötzlich erscheinen... Weiterhin wird logdigest seit November 2009 nicht mehr weiterentwickelt (laut https://www.linux-magazin.de/ausgaben/2012/05/logfiles) Letzte Update auf https://sourceforge.net/projects/logdigest/ ist 04.2014 Allerdings wäre es bestimmt sinnvoll, bei einem Rechner, der aus dem Internet erreichbar ist, verschiedene Log-Files nach 'interessanten' Meldungen zu durchsuchen und diese zu Melden. Aber ist logdigest das richtige Tool dazu ? Im Internet habe ich fast keine Infos dazu gefunden. Was ist Deine/Eure Meinung ? Gibt es ein anderes Tool, mit mehr Infos/Beispielen im Internet ? viele Grüße Werner
Zitat von Werner Franke <werner_franke@arcor.de>:
Hallo, ich habe das Thema nicht verfolgt aber ELK und Splunk bieten Tools um Logfiles zu analysieren. Splunk ist teuer ab 500Mb per Tag, ELK ist je nach Wissenstand recht komnpliziert aber es gibt auch Docker-Varianten. Wenn man Logfile ordentlich managen will kommt man um die Produkte kaum herum. Gruß
Am Mi., 16. Aug. 2023 um 10:19 Uhr schrieb Ralf Prengel <ralf.prengel@rprengel.de>:
Wenn man Logfile ordentlich managen will kommt man um die Produkte kaum herum.
Nun ja, inzwischen gibt es auch Graylog und Loki. :-) Zum Thema: Schau Dir mal logwatch an. Und versuche herauszufinden, was da warum geloggt wird. Gruß Martin
On 16.08.23 10:15, Werner Franke wrote:
Für die Hosts, die bei mir aus dem Internet erreichbar sind, setze ich logcheck ein. Aber: * auch da muß man Whitelists pflegen, um nicht in Mails zu ertrinken * ist das für Suse wohl nicht paketiert. Für /normale/ Installationen würde ich mir das nicht antun. Viele Grüße Ulf
Am 15.08.23 um 19:27 schrieb Werner Franke:
Nachtrag: auf den anderen Rechnern bekomme ich das nicht, weil logdigest da nicht installiert ist. Ich kann mich aber auch nicht erinnern, das auf dem Server installiert zu haben. Es könnte im Zuge eines anderen Paketes mitgekommen sein. Deinstallieren ? Gruss Werner
Hallo Ulf, Am 15.08.23 um 20:46 schrieb Ulf Volmer:
Die Datei /etc/logdigest/ignore.local habe ich auch gesehen, aber da müsste ich erst einmal sehr viele RegEx reinpacken, damit die aktuell gemeldeten Zeilen nicht mehr gemeldet werden. Mich wundert halt, dass diese Meldungen jetzt plötzlich erscheinen... Weiterhin wird logdigest seit November 2009 nicht mehr weiterentwickelt (laut https://www.linux-magazin.de/ausgaben/2012/05/logfiles) Letzte Update auf https://sourceforge.net/projects/logdigest/ ist 04.2014 Allerdings wäre es bestimmt sinnvoll, bei einem Rechner, der aus dem Internet erreichbar ist, verschiedene Log-Files nach 'interessanten' Meldungen zu durchsuchen und diese zu Melden. Aber ist logdigest das richtige Tool dazu ? Im Internet habe ich fast keine Infos dazu gefunden. Was ist Deine/Eure Meinung ? Gibt es ein anderes Tool, mit mehr Infos/Beispielen im Internet ? viele Grüße Werner
Zitat von Werner Franke <werner_franke@arcor.de>:
Hallo, ich habe das Thema nicht verfolgt aber ELK und Splunk bieten Tools um Logfiles zu analysieren. Splunk ist teuer ab 500Mb per Tag, ELK ist je nach Wissenstand recht komnpliziert aber es gibt auch Docker-Varianten. Wenn man Logfile ordentlich managen will kommt man um die Produkte kaum herum. Gruß
Am Mi., 16. Aug. 2023 um 10:19 Uhr schrieb Ralf Prengel <ralf.prengel@rprengel.de>:
Wenn man Logfile ordentlich managen will kommt man um die Produkte kaum herum.
Nun ja, inzwischen gibt es auch Graylog und Loki. :-) Zum Thema: Schau Dir mal logwatch an. Und versuche herauszufinden, was da warum geloggt wird. Gruß Martin
On 16.08.23 10:15, Werner Franke wrote:
Für die Hosts, die bei mir aus dem Internet erreichbar sind, setze ich logcheck ein. Aber: * auch da muß man Whitelists pflegen, um nicht in Mails zu ertrinken * ist das für Suse wohl nicht paketiert. Für /normale/ Installationen würde ich mir das nicht antun. Viele Grüße Ulf
participants (4)
-
Martin Schröder -
Ralf Prengel -
Ulf Volmer -
Werner Franke