Keine logs mehr in /var/log/mail.log, stattdessen in syslog

Do Okt 5 10:50:01 CEST 2023

Fehler gefunden:

Vorgeschichte: jüngst störte mich der Umstand, daß /var/log/journal immer innerhalb weniger Tage
einige GB an logs ansammelte. Ich suchte Rat bei "ubuntuusers.de <http://ubuntuusers.de/>" und man empfahl mir:

Storage=none
ForwardToSyslog=no
ForwardToWall=no
in der "/etc/systemd/journald.conf".

zu setzen, mit den o. geschilderten fatalen Folgen, die mich zur Verzweiflung trieben. Hatte schon einen
Vergleichsserver installiert, war drauf und dran, eine Neuinstallation zu machen, hatte chkrootkit installiert.

Jetzt habe ich eben diese Änderungen in journald.conf rückgängig gemacht und
postfix loggt in mail.log, sshd und andere schön in auth.log, fail2ban funktioniert auf einmal. Gut, jetzt läuft nächtlich 
chkrootkit, so what :-)

Alles funktioniert wieder.

Hier vielen Dank für's Mitdenken.

Grüße
Christoph

> Am 05.10.2023 um 09:36 schrieb Christoph Kukulies <kuku at kukulies.org>:
> 
> 
> 
> 
>> Am 05.10.2023 um 02:22 schrieb Alex <al-pfusde at none.at <mailto:al-pfusde at none.at>>:
>> 
>> On 2023-10-04 (Mi.) 21:37, Christoph Kukulies wrote:
>>> Das war leider ein Irrtum.
>>> Gar keine postfix logs mehr.
>> 
>> Was ist der output von?
>> ```
>> root at mail ~ # ls -la /var/spool/postfix/dev/
>> total 8
>> drwxr-xr-x  2 root root 4096 Oct  4 10:07 .
>> drwxr-xr-x 23 root root 4096 Jun 27 00:04 ..
>> srw-rw-rw-  1 root root    0 Oct  4 10:06 log
>> crw-rw-rw-  1 root root 1, 8 Oct  4 10:07 random
>> crw-rw-rw-  1 root root 1, 9 Oct  4 10:07 urandom
>> ```
>> 
> 
> 
> Das sieht bei mir genauso aus:
> 
> root at mail:~# ls -la /var/spool/postfix/dev
> total 8
> drwxr-xr-x  2 root root 4096 Oct  4 19:28 .
> drwxr-xr-x 20 root root 4096 Sep 24 13:02 ..
> srw-rw-rw-  1 root root    0 Oct  4 19:28 log
> crw-rw-rw-  1 root root 1, 8 Oct  4 19:28 random
> crw-rw-rw-  1 root root 1, 9 Oct  4 19:28 urandom
> root at mail:~# 
> 
> 
>> falls du da ein `log` hast versuch mal die Datei anzulegen und den rsyslogd zu restarten.
> 
> Versteh' nicht: wenn ich da ein log habe? Meinst Du "kein log hast"? log ist ein socket, den kann ich nicht aus der shell heraus anlegen,
> wüßte aus dem Stegreif jetzt nicht wie.
> 
>> 
>> ```
>> root at mail ~ # cat /etc/rsyslog.d/postfix.conf
>> # Create an additional socket in postfix's chroot in order not to break
>> # mail logging when rsyslog is restarted.  If the directory is missing,
>> # rsyslog will silently skip creating the socket.
>> $AddUnixListenSocket /var/spool/postfix/dev/log
>> ```
>> 
>>> rsyslogd läuft
>>> Noch reichlich Platz auf der Platte
>>> Grüße
>>> Christoph
>> 
> 
> 
> Aber es wird überhaupt nichts mehr geloggt, auch nicht von z.B. sshd.
> 
> Es ist wohl ein grundsätzliches Problem mit meiner rsyslog-Konfiguration.
> 
> Danke jedenfalls erst mal.  Melde mich, wie's ausgeht.
> 
> Grüße
> Christoph
> 
>> LG
>> Alex
>> 
>>>> Am 04.10.2023 um 21:14 schrieb Markus Winkler <ml at irmawi.de <mailto:ml at irmawi.de>>:
>>>> On 04.10.23 19:55, Christoph Kukulies wrote:
>>>>> aber im Moment loggt rsyslogd gar nichts, außer dem Hochfahren des
>>>>> kernels. Danach ist nichts mehr im syslog.
>>>> 
>>>> Das verstehe ich jetzt nicht - Du hattest doch heute Mittag geschrieben,
>>>> dass die Postfix-Logs zumindest in /var/log/syslog zu sehen sind?
>>>> 
>>>> Daher stellen sich diese ganzen trivialen Fragen: Wurde zwischenzeitlich
>>>> etwas geändert? Läuft Rsyslogd überhaupt? Platte voll?
>>>> 
>>>> Gruß
>>>> Markus

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://de.postfix.org/pipermail/postfix-users/attachments/20231005/7b736524/attachment-0001.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2026 bytes
Beschreibung: nicht verfügbar
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20231005/7b736524/attachment-0001.p7s>