Emplacement logs mails

20 avr. 2023, 08:27

Salut,

Serveur Debian 12 à jour (Facile pendant le freeze...)
Serveur mail en place (Postfix/Dovecot et tout le bazar)

J'ai eu la surprise hier soir de trouver les logs concernant le serveur mail dans syslog et non dans mail.*

Dernier log enregistré dans /var/log/mail.info

Code : Tout sélectionner

Mar 22 07:39:35 mail dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=2001:41d0:203:1467::1200, lip=2a01:4f8:191:64a1::2, TLS, session=<ar1nbHf3rJ0gAUHQAgMUZwAAAAAAABIA>

Paquets installés au même moment:

Code : Tout sélectionner

Start-Date: 2023-03-22  07:39:19
Commandline: apt install quota quotatool rake rar readline-common redis-server redis-tools reportbug resolvconf rkhunter rspamd rsync rsyslog ruby-minitest ruby-net-telnet ruby-power-assert ruby-rack ruby-rubygems ruby-test-unit sed sensible-utils shared-mime-info

Il y a évidemment rsyslog dans le lot.

Code : Tout sélectionner

# apt policy rsyslog
rsyslog:
  Installé : 8.2302.0-1
  Candidat : 8.2302.0-1
 Table de version :
 *** 8.2302.0-1 500
        500 https://deb.debian.org/debian bookworm/main amd64 Packages
        100 /var/lib/dpkg/status
     8.2102.0-2+deb11u1 500
        500 http://deb.debian.org/debian bullseye/main amd64 Packages
        500 http://deb.debian.org/debian-security bullseye-security/main amd64 Packages
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages

Pourtant la configuration à l'air OK de mon point de vue # cat /etc/rsyslog.conf

Code : Tout sélectionner

# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html


#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
module(load="imklog")   # provides kernel logging support
#module(load="immark")  # provides --MARK-- message capability

# provides UDP syslog reception
#module(load="imudp")
#input(type="imudp" port="514")

# provides TCP syslog reception
#module(load="imtcp")
#input(type="imtcp" port="514")


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf


###############
#### RULES ####
###############

#
# Log anything besides private authentication messages to a single log file
#
*.*;auth,authpriv.none		-/var/log/syslog

#
# Log commonly used facilities to their own log file
#
auth,authpriv.*			/var/log/auth.log
cron.*				-/var/log/cron.log
kern.*				-/var/log/kern.log
mail.*				-/var/log/mail.log
user.*				-/var/log/user.log

#
# Emergencies are sent to everybody logged in.
#
*.emerg				:omusrmsg:*

Comment revenir à la configuration "normale" (Logs du serveur mail dans mail.*) ?

J'aurais pu chercher d'avantage, mais vous avez peut-être la solution à portée de la main ?

20 avr. 2023, 12:21

Re,

J'ai trouvé la solution:

Code : Tout sélectionner

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err

Ces trois lignes sont présentes sur un serveur Bullseye (et pas dans Bookworm)
Rsyslog 8.2102.0-2+deb11u1 vs Rsyslog 8.2302.0-1

La conf par défaut à du changer, car d'un côté comme de l'autre (De mémoire) je n'ai jamais touché à la conf de Rsyslog

dezix · 20 avr. 2023, 12:43

OK, Merci c'est noté

20 avr. 2023, 12:57

dezix a écrit : 20 avr. 2023, 12:43 OK, Merci c'est noté

You're welcome Dear !

lol a écrit : 20 avr. 2023, 12:21 La conf par défaut à du changer, car d'un côté comme de l'autre (De mémoire) je n'ai jamais touché à la conf de Rsyslog

Je confirme:
Les 3 lignes suivantes sont présentes dans le fichier de conf du package Rsyslog 8.2102.0-2+deb11u1 (Et pas dans le package Rsyslog 8.2302.0-1)

Code : Tout sélectionner

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err

20 avr. 2023, 15:54

Ha ben c'est bien dommage. A une époque j'avais un soucis, et le fichier email.log enflait démesurément. Heureusement que je surveillais régulièrement /var/log, sinon je me serais retrouver à court d'espace disque!
J'ai rapidement identifié le coupable et réglé le pb.
Mais maintenant si c'est noyé dans un fichier de log général, ce sera plus compliqué à traiter manuellement.
Ca doit étre une modif pour faciliter le traitement automatique des logs.

20 avr. 2023, 16:19

piratebab a écrit : 20 avr. 2023, 15:54 Ca doit étre une modif pour faciliter le traitement automatique des logs.

Possible oui. Bien que ce ce choix ne me sied pas !

Mais c'est vrai que de plus en plus de logiciels de sécurités scrutent les logs et c'est plus simple si c'est centralisé et normalisé.

Emplacement logs mails Le sujet est résolu