rsyslogがロギングしない

直接的な解決策ではありませんが、裏で何が起こっているのかをデバッグで確認できるようにします。

アイデア＃1-ロガーのデバッグ

はじめに、loggerコマンドを実行すると、そのようにしてメッセージをSTDERRにエコー出力できます。

$ logger -s "hi"
saml: hi

アイデア＃2-構成ファイルを検証する

Rsyslog構成ファイルの検証を試すこともできます。

$ Sudo rsyslogd -N6 | head -10
rsyslogd: version 7.2.6, config validation run (level 6), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

6921.173842409:7f8b11df2780: rsyslogd 7.2.6 startup, module path '', cwd:/root
6921.175241008:7f8b11df2780: caller requested object 'net', not found (iRet -3003)
6921.175261977:7f8b11df2780: Requested to load module 'lmnet'
6921.175272711:7f8b11df2780: loading module '/lib64/rsyslog/lmnet.so'
6921.175505384:7f8b11df2780: module lmnet of type 2 being loaded (keepType=0).
6921.175520208:7f8b11df2780: entry point 'isCompatibleWithFeature' not present in module
6921.175528413:7f8b11df2780: entry point 'setModCnf' not present in module
6921.175535294:7f8b11df2780: entry point 'getModCnfName' not present in module
6921.175541502:7f8b11df2780: entry point 'beginCnfLoad' not present in module

アイデア＃3-rsyslogdデバッグを有効にする

また、rsyslogdデーモンのデバッグを有効にして、さらに洞察を深めます。

$ Sudo -i
$ export RSYSLOG_DEBUGLOG="/tmp/debuglog"
$ export RSYSLOG_DEBUG="Debug"

$ service rsyslog stop
$ rsyslogd -d | head -10    
7160.005597645:7fae096a3780: rsyslogd 7.2.6 startup, module path '', cwd:/root
7160.005872662:7fae096a3780: caller requested object 'net', not found (iRet -3003)
7160.005895004:7fae096a3780: Requested to load module 'lmnet'
7160.005906331:7fae096a3780: loading module '/lib64/rsyslog/lmnet.so'
7160.006023505:7fae096a3780: module lmnet of type 2 being loaded (keepType=0).
7160.006030872:7fae096a3780: entry point 'isCompatibleWithFeature' not present in module
7160.006033780:7fae096a3780: entry point 'setModCnf' not present in module
7160.006036209:7fae096a3780: entry point 'getModCnfName' not present in module
7160.006038359:7fae096a3780: entry point 'beginCnfLoad' not present in module
...
...
7160.006063913:7fae096a3780: rsyslog runtime initialized, version 7.2.6, current users 1
7160.006102179:7fae096a3780: source file syslogd.c requested reference for module 'lmnet', reference count now 2
7160.006113657:7fae096a3780: GenerateLocalHostName uses 'greeneggs'

バージョン情報の確認

$ rsyslogd -version
rsyslogd 7.2.6, compiled with:
    FEATURE_REGEXP:             Yes
    FEATURE_LARGEFILE:          No
    GSSAPI Kerberos 5 support:      Yes
    FEATURE_DEBUG (debug build, slow code): No
    32bit Atomic operations supported:  Yes
    64bit Atomic operations supported:  Yes
    Runtime Instrumentation (slow code):    No
    uuid support:               Yes

See http://www.rsyslog.com for more information.

確認済みのバグと回避策

OPはこれをバグとしてRed Hatに提出しました。

• バグ1088021-VMホストの時刻を変更すると、rsyslogファイルのロギングが無効になります 。

バグの特徴は次のとおりです。

VMがホストと同じ間違った時間を持っていたので、ホストの独自の時間を設定したとき、それは/ var/log/messagesがもう更新されていないことに気づいたときです。

その時点で、rsyslogサービス自体を再起動してファイルにログを記録する以外に何もないことがわかります。そうすると、ログに記録されます。

  ---
   Apr 15 16:39:39 rhel7time-dev rsyslogd-3000: sd_journal_get_cursor() failed: 'Cannot assign requested address'

  Apr 15 16:39:39 rhel7time-dev rsyslogd: [Origin software="rsyslogd" swVersion="7.4.2" x-pid="574" x-info="http://www.rsyslog.com"] exiting on signal 15.
  Apr 15 16:39:39 rhel7time-dev rsyslogd: [Origin software="rsyslogd" swVersion="7.4.2" x-pid="2117" x-info="http://www.rsyslog.com"] start
  ---

それ以外の場合、ロガーを含め、何もファイルに記録されません。

Rsyslog.confで$ OmitLocalLoggingをコメントアウトすると、ファイルのロギングが再開されます（その時点まで、rsyslog.confを変更していなかったことに注意してください）。

ジャーナルを介したロギングは、これらすべての影響を受けません。 journalctl -bは、ロガーによって送信されたものを含むロギングを表示します。

開発者の一人がそれに応じた：

この問題が発生した場合は、/var/lib/rsyslog/imjournal.stateし、回避策としてデーモンを再起動します。

rsyslogは日付を直接処理せず、systemd APIを通じてのみ処理します。少し前にインジャーナルでコードをチェックしましたが、これはsystemdの問題のようです。

参考として、以下を参照してください https://github.com/rsyslog/rsyslog/issues/4