我有数百条这样的日志条目:
Feb 13 16:46:56 XXXX kernel: [42982.178922] type=1701 audit(1360799216.852:1514): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=5529 comm="chrome" reason="seccomp" sig=0 syscall=2 compat=0 ip=0x7f3060b476b0 code=0x50000
Feb 13 16:46:56 XXXX kernel: [42982.178943] type=1701 audit(1360799216.852:1515): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=5529 comm="chrome" reason="seccomp" sig=0 syscall=2 compat=0 ip=0x7f3060b476b0 code=0x50000
此行为解释如下:为什么 syslog 中有与 Google Chrome 相关的“seccomp”事件?。
我如何将它们重定向出我的kern.log文件?
我计划稍后弄清楚这个日志,但是我还有其他项目,使用较小的kern.log文件会更容易。
我曾见过这样的情况:如何在 Ubuntu 12.04 中启用 Google Chrome 日志记录?
提到的文件不在我的主文件夹下。
默认安装。编辑:基本插件。单一配置文件。检查菜单项和唯一选项%U(无--debug或类似选项)
关于:
Google Chrome 24.0.1312.69 (Official Build 180721)
OS Linux
WebKit 537.17 (@140072)
JavaScript V8 3.14.5.6
Flash 11.5.31.139
User Agent Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.17 (KHTML, like Gecko)
Chrome/24.0.1312.69 Safari/537.17
答案1
如果使用 Chrome 的开源版本(例如在 Ubuntu 上安装的版本sudo apt-get install chromium-browser),则重定向 seccomp 日志需要略有不同的 rsyslogd 过滤器。
作为参考,Chromium 系统日志消息如下所示:
Feb 23 17:33:16 XXX kernel: [507549.071917] type=1701 audit(1393194796.933:3999): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=21016 comm="chromium-browse" reason="seccomp" sig=0 syscall=2 compat=0 ip=0x7f2b40940eb0 code=0x50001
基于 stsquad 的回答,这里有一个/etc/rsyslog.d/30-seccomp.conf可以同时与 Google Chrome 和开源 Chromium 一起使用的版本:
if $msg contains ' reason="seccomp"' and $msg contains ' comm="chrom' \
then -/var/log/chrome-seccomp.log
& ~
答案2
您需要调整 rsyslog 配置以不同方式处理这些消息。例如,您可以创建 /etc/rsyslog.d/30-seccomp.conf:
if $msg contains 'comm="chrome" reason="seccomp"' then /var/log/chrome.log
& ~
其次是:
initctl restart syslog
该规则规定,如果消息包含字符串,则将其转发到 /var/log/chrome.log。第二行表示应删除与第一行匹配的任何内容。
如果您只想删除所有这些消息:
if $msg contains 'comm="chrome" reason="seccomp"' then ~
答案3
编写一个 grep hack 脚本怎么样?
grep -Ev 'chrome' /var/log/kern.log >> /var/log/smaller.kern.log