linux - 某工的centos7 启动了rsyslog之后，日志/var/log/messages等都不产生日志了，都是空的。求大神解决！

Question

之前一直有日志生成的，正常运行，自从前几天搞了下好像重启了下rsyslog ，最后一次轮替日志之后，/var/log/message, /var/log/secure等都不记录了，并且都是空文件。

求高手帮忙看看，我想知道怎么解决，也想知道这是什么原因。感激不尽。

配置文件/etc/rsyslog.conf

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

/var/log/secure等都是空的，除了*-20161211是保留到截止9号的日志

/var/log/secure等都是空的

rsyslog也是重启过的

也就是从8号就开始不正常记录日志了，这个是fail2ban-20161211那个日志最后几行截图

Answer 1

變找bug邊刷新此頁面，都等不來大神的解救，這位@StormerZ還給哥回答了不相關的，佔頁面且刷分給差評，點名批評！
到此為止，終於找到解決方法，生活總是這樣，有時候還是自問自答。
首先我是reboot重啟伺服器，沒用。 reboot重启服务器，没用。
然后我在修改了syslog配置文件,在/ect/logroate.d/syslog, 重启systemctl restart rsyslog
依然没用。

/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
    missingok
    sharedscripts
    postrotate
    /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    /bin/kill -HUP `cat /var/run/rsyslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}

后来干脆把/var/log/messages手动删掉重新运行rsyslog, 结果可预测，还是没用。
至此，依然不知道问题出在哪里。
好吧，真烦。
很想出去奔跑。

最后决定重装下rsyslog,于是
yum reinstall rsyslog
重启了rsyslog，结果还是没用。
这是为啥子为啥子，看来是配置文件有问题咯！
好吧，那来找一下配置文件/etc/rsyslog.conf,网站找了下其他人的配置，改成如下：

#$ModLoad imjournal # provides access to the systemd journal
#Enable by uncommenting
$ModLoad imklog # reads kernel messages (the same are read from journald)

#Comment out
#$OmitLocalLogging on

#Comment out
#$IMJournalStateFile imjournal.state

重启rsyslog

$ systemctl stop rsyslog.service
$ systemctl start rsyslog.service

$ tail -f /var/log/secure
终于可以啦~ 有记录啦。

于是为了验证确实是这个问题，我再/etc/rsyslog.conf然後我在修改了syslog設定檔,在/ect/logroate.d/syslog, 重啟systemctl restart rsyslog
依然沒用。

rrreee

後來乾脆把/var/log/messages手動刪除重新運行rsyslog, 結果可預測，還是沒用。
至此，依然不知道問題出在哪裡。
好吧，真煩。
很想出去奔跑。

🎜最後決定重裝下rsyslog,於是🎜yum reinstall rsyslog🎜重啟了rsyslog，結果還是沒用。 🎜這是為啥子為啥子，看來是設定檔有問題咯！ 🎜好吧，那來找一下設定檔/etc/rsyslog.conf,網站找了下其他人的配置，改成如下：🎜 rrreee 🎜重啟rsyslog🎜 rrreee 🎜$ tail -f /var/log/secure 🎜終於可以啦~ 有記錄啦。 🎜 🎜於是為了驗證確實是這個問題，我再/etc/rsyslog.conf改回原來的樣子，重啟rsyslog.🎜依然可以。 🎜 🎜這我就奇怪了。 🎜不過，問題解決了。 🎜有人告訴我這是為啥嗎？回覆裡評論。 🎜問題我先關閉了，反正也沒人看了，希望後面看到的知道原因的回覆告訴我下，在這裡先感謝啦！ 🎜

Answer 2

redhat 7 centos7 用system-journal，取代了原來的syslog，並由rsyslog負責寫入message等日誌文件，關閉、或修改rsyslog可能會導致日誌檔案無法正常寫入。重新安裝rsyslog，卸載後，記得刪除rsyslog設定文件，應可以解決問題

Answer 3

今天剛裝了CENTOS 7.2，VSFTPD還沒配好。 。服務啟動不了~ 好擔心7.2未知的坑。 。