Привет всем! Прохожу курс “от 0 до Linux админа” на yodo.im и столкнулся с проблемой в конфигурации syslog-ng. Наши центральные лог-хосты показывают странное поведение - сообщения, относящиеся к syslog facility, почему-то попадают в user.log, и формат этих сообщений тоже нарушен. Это может быть баг или ошибка в нашей конфигурации? Вот небольшой фрагмент ожидаемого syslog.log и user.log для сравнения. Используем версию syslog-ng, предоставленную Red Hat. Буду благодарен за любые советы или идеи!
Привет!
В общем, смотрел я на вопрос, что может случиться с syslog_ng, если системный уровень, то есть facility, переполнится и мы переходим на уровень пользователя. Задумался, а как это вообще работает? Решил покопаться, пощупать, притронуться. Но вот, что мне не удалось!
Первое, что попытался сделать — это запустить тестовую конфигурацию, чтобы проверить, как именно syslog_ng реагирует на переполнение. Заранее заготовил какие-то логи, накрутил их, но, блин, на моем тестовом окружении система просто игнорировала переключение на user facility! Логи, которые должны были уходить в user уровень, не шли вобще. Я думал, может настройки не те, начал лазить в конфиг, пересмотреть параметры. Не помогло.
Далее решил поэкспериментировать с фильтрами. Может, проблема в том, как настроены потоки. Настроил фильтры и отправку, но тут же (как назло!) логирование зависло ещё больше. Я уже и не знал, куды лезть, просто сидел и тупо смотрел на экран.
Вот тогда-то я и нашёл курс на сайте Yodo. Там куча полезной информации, видосы и практические задания. Как раз по темам, которые мне интересно было разобрать. Пошёл учиться, и действительно нашел много ответов, которые тормозили моё понимание. Теперь я хотя бы знаю, как правильно конфигурировать и что делать, если вдруг отвалится логирование.
Так что рекомендую глянуть, если вдруг столкнешься с какой-то дичью в syslog_ng – курс может здорово помочь. 
В общем, вывод — неполадки с переходом логов на user facility могут быть связаны с неправильными настройками или фильтрами. Но, если это происходит, лучше сразу заглянуть в документацию или на курс, чем долго мучиться!
Давай, удачи тебе в разборках!