Почему логи выводятся в файлы *.log.1?

Question

[Алексей]

Почему-то все основные файлы логов (auth.log, syslog и пр.) всегда пустые, а логи выводятся в auth.log.1, syslog.1
Кто виноват и что делать?

Comments

[Lynn «Кофеман»]

Кто-то забыл перегрузить syslog (rsyslog)

Answer 1

[Developer]

auth.log и прочие - это активные, открытые файлы, в которые в данный момент пишутся логи. В определённый момент времени этот файл закрывается и переименовывается в auth.log.1, доступный для анализа и создаётся новый auth.log

Comments

[Алексей]

Простите, но это мне известно. Я спрашиваю, почему всегда активным (открытым) является syslog.1, а syslog пустой и отмечен давно ушедшей датой?

[Developer]

Алексей, Простите, но я вижу другой вопрос. Там ни слова о дате

[Алексей]

Дык, уважаемый, дата ни причём) Я ведь ясно спросил - почему логи ВЫВОДЯТСЯ в auth.log.1, syslog.1, а не в auth.log и syslog, куда им и положено выводиться соответствующими демонами, а вот auth.log, syslog ВСЕГДА пустые. А то, что они потом АРХИВИРУТСЯ logrotate в файлы с числовыми расширениями - это мне известно.

Ну да ладно, проехали! В любом случае, спасибо за отзыв и желание помочь!

[Алексей]

Developer, Обратил внимание, что после перезагрузки сервера, а значит и перезапуска rsyslog снова становятся активными auth.log, syslog. А через некоторое время после logrotate они обнуляются, а вывод продолжается в архивные auth.log.1 и syslog.1. Вот такая штука. Что-то не так с опцией postrotate, наверное...

Answer 2

[Alexey Dmitriev]

Потому что logrotate переименовывает логи и после этого должен подать команду сервису, чтобы тот начал писать логи в новый файл. А это не происходит и сервис продолжает писать логи в старый файл даже после его переименования.
Копать в /etc/logrotate.d

Comments

[Алексей]

Да, то, что вы говорите - похоже на правду. Вопрос в том, как решить проблему.
Вот файл /etc/logrotate.d/rsyslog:

/var/log/syslog
{
        size 50M
        rotate 7
        daily
        missingok
        notifempty
        delaycompress
        compress
        postrotate
                invoke-rc.d rsyslog rotate > /dev/null
        endscript
}

/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/mail.log
/var/log/daemon.log
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
/var/log/lpr.log
/var/log/cron.log
/var/log/debug
/var/log/messages
{
        rotate 4
        weekly
        missingok
        notifempty
        compress
        delaycompress
        sharedscripts
        postrotate
                invoke-rc.d rsyslog rotate > /dev/null
        endscript
}

Если я из консоли даю
invoke-rc.d rsyslog rotate
то в ответ получаю

initctl: invalid command: rotate
Try `initctl --help' for more information.
invoke-rc.d: initscript rsyslog, action "rotate" failed.

и это при том, что action "rotate" таки есть в /etc/init.d/rsyslog
Что за бред!?

[Alexey Dmitriev]

service rsyslog rotate работает? если да-замените им invoke-rc.d rsyslog rotate и всё.

[Алексей]

Да, кстати, работает такая штука! Попробую заменить, понаблюдаю.
Спасибо!

Answer 3

[ky0]

Вангую какую-то бяку с файловыми дескрипторами. Что-нибудь вроде "активный лог переименовывается и только потом создаётся новый, поэтому процесс отправки как слал в тот fd, так и шлёт".