openvpv и syslogd

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Jeque
рядовой
Сообщения: 45
Зарегистрирован: 2009-01-23 12:28:33

openvpv и syslogd

Непрочитанное сообщение Jeque » 2016-05-19 16:46:22

Приветствую.
Бьюсь над проблемой третий день, но не могу решить.
Демон OpenVPN пишет свои логи через syslog, т.е. по-умолчанию в файл /var/log/messages. Хочу перенаправить логи OpenVPN в отдельный файл. Добавляю в конец syslog.conf следующие строки:

Код: Выделить всё

!openvpn
*.*                                             /var/log/openvpn/openvpn.log
Логи куда надо перенаправляются, НО продолжают также писаться и в /var/log/messages. Я уже и вот это:

Код: Выделить всё

!-openvpn
в конец добавлял и другие разные дерективы, типа !*, ничего не помогает.
Подскажите, что я делаю не так.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

pimlab
прапорщик
Сообщения: 483
Зарегистрирован: 2007-10-09 11:31:03

openvpv и syslogd

Непрочитанное сообщение pimlab » 2016-05-20 12:04:18

Jeque писал(а):Приветствую.

Код: Выделить всё

!openvpn
*.*                                             /var/log/openvpn/openvpn.log
!-openvpn
добавте в начало

Jeque
рядовой
Сообщения: 45
Зарегистрирован: 2009-01-23 12:28:33

openvpv и syslogd

Непрочитанное сообщение Jeque » 2016-05-20 15:26:22

Вот спасибо, мил человек! Я уже голову себе сломал, не понимая, что происходит.
И вправду так заработало. А во всех руководствах пишут, что надо в конец добавлять.
Скорее всего, вот эта строка что-то от демона OpenVPN отлавливает:

Код: Выделить всё

*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err   /var/log/messages
и пишет в общий лог.

Отправлено спустя 2 часа 30 минут 37 секунд:
Ещё возник вопрос.
Мне нужно собирать логи от трёх демонов OpenVPN на одном сервере. Как должна тогда выглядеть конструкция в syslog.conf? Попробовал по аналогии добавить в начало файла три однотипных записи:

Код: Выделить всё

!openvpn1
*.*                                             /var/log/openvpn/openvpn1.log
!-openvpn1
!openvpn2
*.*                                             /var/log/openvpn/openvpn2.log
!-openvpn2
!openvpn3
*.*                                             /var/log/openvpn/openvpn3.log
!-openvpn3
но это сразу же привело к тому, что ото всех трёх демонов логи начали сыпаться в /var/log/messages.

Jeque
рядовой
Сообщения: 45
Зарегистрирован: 2009-01-23 12:28:33

openvpv и syslogd

Непрочитанное сообщение Jeque » 2016-05-23 10:37:35

В результате заработала вот такая конструкция:

Код: Выделить всё

!openvpn1
*.*                                             /var/log/openvpn/openvpn1.log
!openvpn2
*.*                                             /var/log/openvpn/openvpn2.log
!openvpn3
*.*                                             /var/log/openvpn/openvpn3.log
!-openvpn1,openvpn2,openvpn3
в начале файла.

Аватара пользователя
wien
сержант
Сообщения: 151
Зарегистрирован: 2014-06-26 18:38:44
Откуда: DafaultCity
Контактная информация:

openvpv и syslogd

Непрочитанное сообщение wien » 2020-11-12 19:35:29

Мужики, здорова!
Я конечно понимаю, что уже многие бородатые тру БСД администраторы на пенсии и огурцы сажают, надеюсь, что тут народ остался. Поэтому не откажите в любезности, помогите решить проблему над которой уже несколько дней бьюсь.

Излагаю обстановку. Дано uname -a:

Код: Выделить всё

FreeBSD net.gateway 11.0-RELEASE-p8 FreeBSD 11.0-RELEASE-p8 #0: Thu Apr  6 19:22:31 MSK 2017     root@Gateway:/usr/obj/usr/src/sys/NETGATEWAY1.0  i386
Сервер OpenVPN: openvpn --version

Код: Выделить всё

OpenVPN 2.4.1 i386-portbld-freebsd11.0 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Aug 21 2017
library versions: OpenSSL 1.0.2k-freebsd  26 Jan 2017, LZO 2.10
Originally developed by James Yonan
Copyright (C) 2002-2017 OpenVPN Technologies, Inc. <sales@openvpn.net>
Compile time defines: enable_async_push=no enable_comp_stub=no enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=needless enable_fragment=yes enable_iproute2=no enable_libtool_lock=yes enable_lz4=yes enable_lzo=yes enable_management=yes enable_multi=yes enable_multihome=yes enable_pam_dlopen=no enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_silent_rules=no enable_small=no enable_static=yes enable_strict=yes enable_strict_options=no enable_systemd=no enable_werror=no enable_win32_dll=yes enable_x509_alt_username=no with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_sysroot=no
Конфиг OpenVPN сервера без комментариев /usr/local/etc/openvpn/openvpn.conf:

Код: Выделить всё

port 1194
proto udp
dev tun
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/openvpn-server.crt
key /usr/local/etc/openvpn/keys/openvpn-server.key  # This file should be kept secret
dh /usr/local/etc/openvpn/keys/dh.pem
remote-cert-tls client
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
route 10.8.0.0 255.255.255.252
push "dhcp-option DNS 192.168.0.1"
client-to-client
keepalive 10 120
tls-auth /usr/local/etc/openvpn/keys/ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
explicit-exit-notify 1
Конфиг без комментариев /etc/syslog.conf:

Код: Выделить всё

!openvpn
*.*                                             /var/log/openvpn.log
!openvpn_mh
*.*                                             /var/log/openvpn_mh.log
!-openvpn,openvpn_mh
*.err;kern.warning;auth.notice;mail.crit                /dev/console
*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err   /var/log/messages
security.*                                      /var/log/security
auth.info;authpriv.info                         /var/log/auth.log
mail.info                                       /var/log/maillog
lpr.info                                        /var/log/lpd-errs
ftp.info                                        /var/log/xferlog
cron.*                                          /var/log/cron
!-devd
*.=debug                                        /var/log/debug.log
*.emerg                                         *
!ppp
*.*                                             /var/log/ppp.log
!*
!mpd
*.*                                             /var/log/mpd.log
!dhcpd
local7.*                                        /var/log/dhcpd.log
Конфиг без комментариев /etc/newsyslog.conf:

Код: Выделить всё

/var/log/all.log                                600  7     *    @T00  J
/var/log/amd.log                                644  7     100  *     J
/var/log/auth.log                               640  7     100  @0101T JC
/var/log/console.log                            600  5     100  *     J
/var/log/cron                                   600  3     100  *     JC
/var/log/daily.log                              640  7     *    @T00  JN
/var/log/debug.log                              600  7     100  *     JC
/var/log/init.log                               644  3     100  *     J
/var/log/kerberos.log                           600  7     100  *     J
/var/log/lpd-errs                               644  7     100  *     JC
/var/log/maillog                                640  7     *    @T00  JC
/var/log/messages                               644  5     100  @0101T JC
/var/log/monthly.log                            640  12    *    $M1D0 JN
/var/log/pflog                                  600  3     100  *     JB    /var/run/pflogd.pid
/var/log/ppp.log        root:network            640  3     100  *     JC
/var/log/devd.log                               644  3     100  *     JC
/var/log/security                               600  10    100  *     JC
/var/log/sendmail.st                            640  10    *    168   BN
/var/log/utx.log                                644  3     *    @01T05 B
/var/log/weekly.log                             640  5     *    $W6D0 JN
/var/log/xferlog                                600  7     100  *     JC
/var/log/mpd.log        root:wheel              600  5     4096 *     JC
/var/log/mysqld.log     mysql:mysql             644  7     4096 *     JC    /var/db/mysql/aso.gateway.pid
/var/log/httpd-access.log                       644  10    8192 *     JC
/var/log/httpd-error.log                        644  10    8192 *     JC
/var/log/proftpd/proftpd_serverlog              644  10    8192 *     JC
/var/log/proftpd/proftpd_systemlog              640  3     2048 *     JC
/var/log/proftpd/proftpd_transferlog            644  10    8192 *     JC
/var/log/fail2ban.log                           600  7     500  *     JC
/var/log/ntp.log                                644  3     100  *     J     /var/run/ntpd.pid
/var/log/dhcpd.log      dhcpd:dhcpd             644  7     2048 *     JC
/var/log/openvpn.log                            644  7     500  *     JC    /var/run/openvpn.pid
/var/log/openvpn_mh.log                         644  7     500  *     JC    /var/run/openvpn_mh.pid
<include> /etc/newsyslog.conf.d/*
<include> /usr/local/etc/newsyslog.conf.d/*
Из конфигов выше понятно, что запущены 2 экземпляра OpenVPN сервера: openvpn и openvpn_mh. Конфиг второго приводить не стану, поскольку он идентичный и разница только в прослушиваемом порте.

Проблема №1: не получается нормально настроить ротацию логов, а именно по приведенной выше схеме ротация происходит, но после нее сервер openvpn, чей лог подвергся ротации падает с выхлопом в логах:

Код: Выделить всё

Nov 12 12:14:48 gateway newsyslog[21039]: logfile turned over due to size>500K
Nov 12 12:14:48 gateway openvpn[42893]: event_wait : Interrupted system call (code=4)
Nov 12 12:14:50 gateway openvpn[42893]: /sbin/route delete -net 10.8.0.0 10.8.0.2 255.255.255.252
Nov 12 12:14:50 gateway openvpn[42893]: ERROR: FreeBSD route delete command failed: external program exited with error status: 77
Nov 12 12:14:50 gateway openvpn[42893]: /sbin/route delete -net 10.8.0.0 10.8.0.2 255.255.255.0
Nov 12 12:14:50 gateway openvpn[42893]: ERROR: FreeBSD route delete command failed: external program exited with error status: 77
Nov 12 12:14:50 gateway openvpn[42893]: Closing TUN/TAP interface
Nov 12 12:14:50 gateway openvpn[42893]: /sbin/ifconfig tun0 destroy
Nov 12 12:14:50 gateway openvpn[42893]: FreeBSD 'destroy tun interface' failed (non-critical): external program exited with error status: 1
Nov 12 12:14:50 gateway openvpn[42893]: SIGHUP[hard,] received, process restarting
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --dh fails with '/usr/local/etc/openvpn/keys/dh.pem': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --ca fails with '/usr/local/etc/openvpn/keys/ca.crt': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --cert fails with '/usr/local/etc/openvpn/keys/openvpn-server.crt': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --key fails with '/usr/local/etc/openvpn/keys/openvpn-server.key': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --tls-auth fails with '/usr/local/etc/openvpn/keys/ta.key': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --writepid fails with '/var/run/openvpn.pid': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: --status fails with '/var/log/openvpn-status.log': Permission denied
Nov 12 12:14:50 gateway openvpn[42893]: Options error: Please correct these errors.
Nov 12 12:14:50 gateway openvpn[42893]: Use --help for more information.
Проблема №2: перестал писаться /var/log/mpd.log и в /var/log/messages пишутся только kernel события, так небыло до того как в /etc/syslog.conf не запялил настройки касательно openvpn на самый верх.

Проблема №1 и Проблема №2 100% связаны между собой файлом /etc/syslog.conf.

Прошу накинуть вариантов решения проблем, возможно нужен ваш свежий взгляд на происходящее. Заранее признателен откликнувшемся!

user
проходил мимо

openvpv и syslogd

Непрочитанное сообщение user » 2020-12-18 17:15:00

Про первую часть - https://github.com/Tunnelblick/Tunnelblick/issues/334
А по поводу второй - точно всё с пермишанами (Permission denied) в порядке ?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

openvpv и syslogd

Непрочитанное сообщение snorlov » 2020-12-19 15:31:10

А у вас прописан разный pid-файл у разных экземпляров openvpn? Дело в том, что у вас при рестарте
1.нет доступа к сертификатам, но это можно отнести к отсутствию доступа пользователя nobody, от имени которого
стартуют демоны
2. нет доступа к /var/run/openvpn.pid, а вот здесь мне кажется на самом деле он просто юзается 2-рым экземпляром openvpn, залочен данный файл...
Я вам бы порекомендовал бы в конфиге указать и разный tun(tun0, tun1),status

Аватара пользователя
wien
сержант
Сообщения: 151
Зарегистрирован: 2014-06-26 18:38:44
Откуда: DafaultCity
Контактная информация:

openvpv и syslogd

Непрочитанное сообщение wien » 2020-12-21 22:43:37

Проблему с падением openvpn после ротации логов удалось победить подправив /etc/newsyslog.conf.
Было:

Код: Выделить всё

/var/log/openvpn.log                            644  7     500  *     JC    /var/run/openvpn.pid
/var/log/openvpn_mh.log                         644  7     500  *     JC    /var/run/openvpn_mh.pid
Стало:

Код: Выделить всё

/var/log/openvpn.log                            644  7     500  *     JC
/var/log/openvpn_mh.log                         644  7     500  *     JC
Убрал пиды процессов, чтобы syslogd их не дергал, а спокойно продолжал собирательство логов. Может кто-то скажет, что это неправильно, но работает, уже не одна ротация произошла.

По неполноте записи в /var/log/messages вопрос открыт.

Благодарю откликнувшихся!