Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: [Opgelost] Dubbele entries in /var/log/auth.log  (gelezen 1173 keer)

Offline tap

  • Lid
  • Steunpunt: Nee
[Opgelost] Dubbele entries in /var/log/auth.log
« Gepost op: 2012/03/14, 17:22:16 »
Ik zat net even mijn /var/log/auth.log door te nemen en het viel mij op dat alle entries daar dubbel in staan.
Ik snap alleen niet waarom. Iemand een idee, waar dit vandaan komt en hoe ik het kan oplossen?
« Laatst bewerkt op: 2012/03/15, 17:42:32 door tap »

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Dubbele entries in /var/log/auth.log
« Reactie #1 Gepost op: 2012/03/14, 18:40:51 »
Is het hetzelfde systeem als dit topic? http://forum.ubuntu-nl.org/server-en-netwerk/varlogauth-log-is-leeg/
Zo ja, wil je dat voortaan dan vermelden? :)
Dan is het voor iedereen gemakkelijker: andere lezers weten dan wat voor problemen je eerder al gehad hebt met je logbestanden en jij bent waarschijnlijk sneller geholpen.

On topic: ik zou de instellingen voor Syslog nog eens doorspitten. Vergelijk ze even met een vers geïnstalleerd systeem in een VM bijvoorbeeld.

Offline tap

  • Lid
  • Steunpunt: Nee
Re: Dubbele entries in /var/log/auth.log
« Reactie #2 Gepost op: 2012/03/14, 22:50:04 »
Het gaat inderdaad om hetzelfde systeem.

De reden waarom ik het er niet bij gemeld heb, is omdat na het oplossen van het vorige probleem er is gewoon enkele entries in het de auth.log stonden.  =D Ook ben ik nagegaan of ik wijzigingen heb uitgevoerd op mijn systeem vanaf het moment dat hij dubbele entries begon te maken, maar ook daar heb ik geen link tussen kunnen vinden.

Ik heb geen VM systeem draaien, waarin ik een verse installatie kan nakijken.

Ik heb al gekeken in de syslog bestanden, maar niet iets kunnen terug vinden.
Ik heb er ook al op gegoogled en op die manier niks gevonden.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Dubbele entries in /var/log/auth.log
« Reactie #3 Gepost op: 2012/03/14, 22:58:11 »
Heb je ook geen 2e systeem om even mee te kijken?
Dan is het misschien wel handig als je de volgende bestanden hier plaatst:
/etc/default/rsyslog
/etc/rsyslog.conf
alle bestanden in /etc/rsyslog.d/

Offline tap

  • Lid
  • Steunpunt: Nee
Re: Dubbele entries in /var/log/auth.log
« Reactie #4 Gepost op: 2012/03/14, 23:24:48 »
Nee, mijn tweede systeem ligt uit elkaar. Nieuwe hardware aan het installeren. :rolleyes:

/etc/default/rsyslog
# Options for rsyslogd
# -m 0 disables 'MARK' messages (deprecated, only used in compat mode < 3)
# -r enables logging from remote machines (deprecated, only used in compat mode < 3)
# -x disables DNS lookups on messages received with -r
# -c compatibility mode
# See rsyslogd(8) for more details
RSYSLOGD_OPTIONS="-c4"

/etc/rsyslog.conf
#  /etc/rsyslog.conf Configuration file for rsyslog.
#
# For more information see
# /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
#
#  Default logging rules can be found in /etc/rsyslog.d/50-default.conf


#################
#### MODULES ####
#################

#*.* @@192.168.1.200
auth,authpriv.* /var/log/auth.log
$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
#$ModLoad immark  # provides --MARK-- message capability

$KLogPath /proc/kmsg

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
#$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Filter duplicated messages
$RepeatedMsgReduction on

#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf

/etc/rsyslog.d/20-ufw.conf
# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& ~

/etc/rsyslog.d/50-default.conf
#  Default rules for rsyslog.
#
# For more information see rsyslog.conf(5) and /etc/rsyslog.conf

#
# First some standard log files.  Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err

#
# Logging for INN news system.
#
news.crit /var/log/news/news.crit
news.err /var/log/news/news.err
news.notice -/var/log/news/news.notice

#
# Some "catch-all" log files.
#
*.=debug;\
auth,authpriv.none;\
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg *

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
# news.=crit;news.=err;news.=notice;\
# *.=debug;*.=info;\
# *.=notice;*.=warn /dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility.  To use it,
# you must invoke `xconsole' with the `-file' option:
#
#    $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
#      busy site..
#
daemon.*;mail.*;\
news.err;\
*.=debug;*.=info;\
*.=notice;*.=warn |/dev/xconsole

/etc/rsyslog.d/postfix.conf
# Create an additional socket in postfix's chroot in order not to break
# mail logging when rsyslog is restarted.  If the directory is missing,
# rsyslog will silently skip creating the socket.
$AddUnixListenSocket /var/spool/postfix/dev/log

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Dubbele entries in /var/log/auth.log
« Reactie #5 Gepost op: 2012/03/15, 00:39:56 »
Deze regel verwijderen uit /etc/rsyslog.conf:
auth,authpriv.* /var/log/auth.logDie staat namelijk ook al in 50-default.conf :)

Offline tap

  • Lid
  • Steunpunt: Nee
Re: Dubbele entries in /var/log/auth.log
« Reactie #6 Gepost op: 2012/03/15, 17:42:17 »
Bedankt, dat heeft het gedaan!