Ubuntu 14.04システムロギング

14.04はrsyslogを使用します。 12.04から14.04にアップグレードしたとき、/var/logのログファイルの所有者をrootからsyslogに変更する必要がありました。

（/etc/rsyslog.confでは、所有者は次のように定義されています

$FileOwner syslog
$FileGroup adm

）

また、どのイベントがどのファイルに記録されるかが定義されている/etc/rsyslog.d/50-default.confも確認する必要があります。 /var/log/syslogの行もあります。おそらくそれはコメントアウトされています。

公式のサーバーメディアを使用してUbuntu 14.04の新しいインストールを実行しました。

Rsyslogがインストールされ、auth.logはデフォルト構成の有効なログファイルです。ファイル/etc/rsyslog.d/50-default.confで構成されています

Auth.logがない場合は、次のいずれかを行ったと思います。

• 設定を変更しました
• rsyslog以外のsyslogデーモンを使用した
• 異なるデフォルトを設定するUbuntuインストーラーを使用しました。

使用しているsyslogデーモンを正確に把握していないと、判別するのが困難です。

Rsyslogを使用している場合は、/etc/rsyslog.confと/etc/rsyslog.d内のファイルを確認してください。 auth、authpriv。*メッセージが記録されている場所を確認します。

新しいUbuntu 14.04をインストールしてsshログインでfail2banを有効にすると、この問題が発生しました。

Ubuntu 14.04は、デフォルトのユーザーrsyslogおよびグループsyslogでadmを使用します。ただし、/var/logディレクトリには権限root:root 0755があります。つまり、rsyslogは/var/log/auth.logファイルなどのディレクトリに新しいログファイルを作成できません。

これを解決するには複数の方法があります。

すべてのユーザーが/var/log/を書き込み可能にする

Sudo chmod 0777 /var/log

/var/logの所有者/グループを変更

Sudo chown syslog:adm /var/log
Sudo chmod 0775 /var/log

/var/log/auth.logをタップし、その所有者/グループをsyslog:admに変更します

Sudo touch /var/log/auth.log
Sudo chown syslog:syslog /var/log/auth.log

ユーザー/グループの変更rsyslog実行（非推奨）

editor /etc/rsyslog.conf
$FileOwner root
$FileGroup root

このような最終的なメッセージが/var/log/syslogにある場合：

Dec 29 19:27:32 Host rsyslogd-2039: 
Could no open output pipe '/dev/xconsole': 
No such file or directory [try http://www.rsyslog.com/e/2039 ]

それが原因です。これは、Ubuntu 14.04.1 LTSの/etc/rsyslog.d/50-default.confのデフォルトバージョン（または少なくとも以前のバージョンであり、アップグレードされたまま）がエラー監視に/dev/xconsoleの使用を想定しているために発生しますが、ヘッドレスでは使用できません。サーバー環境。

これを修正するには、/etc/rsyslog.d/50-default.confの対応するセクションを無効にして、次のようにします。

# daemon.*;mail.*;\
#        news.err;\
#        *.=debug;*.=info;\
#        *.=notice;*.=warn       |/dev/xconsole

次に、rsyslog（Sudo service rsyslog restart）を再起動すると、ログファイルが機能するようになります。

ソース： この回答 からAskUbuntu SEへの質問 " / dev/xconsoleがないと、rsyslogが停止し、他のすべてのサービスも停止します "。