rsyslog, der erweiterte syslogd für Linux und Unix

Rsyslog 4.1.3, ein Mitglied des Entwicklungszweiges, wurde heute veröffentlich. Die wichtigste Änderung ist ein Bugfix für das imudp Eingabe-Modul, das in manchen Situationen in eine enge Endlosschleife laufen konnte. Der Release bietet zusätzlich neue Funktionen, unter anderem eine Work-Around um ungültiges syslog/TCP Framing von NetScreen zu bewältigen. Es gibt 2 weite Konfigurationsoptionen, welche für das Feintuning verwendet werden können (Details im Changelog).

Wir möchten außerdem unseren Dank an Blinkmind, Inc. (http://www.blinkmind.com) ausdrücken, welche die Entwicklung der $PreserveFQDN Konfigurationseinstellung gesponsort haben.

Download

http://www.rsyslog.com/Downloads-req-viewdownloaddetails-lid-145.phtml

Changelog

http://www.rsyslog.com/Article335.phtml

Wie immer würden wir uns über Feedback freuen. Wir hoffen, dass dieser Release nützlich ist.

Florian Riedl

Wir haben soeben rsyslog 4.1.2 veröffentlicht, ein Release des v4-Entwicklungszweiges. Das Wichtigste zuerst: Dieser Release widmet sich einer Sicherheitslücke welche die $AllowedSender Anweisung nutzlos macht. Dieser Release enthält außerdem einen Sicherheits-Fix für imudp, welches eine Meldung generiert hat, wenn ein nichterlaubter Sender eine Nachricht geschickt hat. Dies konnte die Festplatte füllen. Nun wird eine Meldung nur noch einmal pro Minute generiert. Außerdem wurden alle Fixes und Änderungen der Versionen 3.21.9 (beta) und 3.20.2 (stable) in diesen Release integriert.

Security Advisory:
http://www.rsyslog.com/Article322.phtml

Download:
http://www.rsyslog.com/Downloads-req-viewdownloaddetails-lid-143.phtml

Change Log:
http://www.rsyslog.com/Article331.phtml

Alle Nutzer sind dazu angehalten auf diesen Release upzudaten. Es wird dringlich empfohlen für alle, nicht nur diejenigen welche von der Sicherheitslücke betroffen wären, sondern auch alle die TLS-basierte Kommunikation nutzen.

Wie immer würden wir uns über Feedback freuen. Wir hoffen, dass dieser Release nützlich ist.

Florian Riedl

Wir haben soeben rsyslog 3.21.9 veröffentlicht, ein Release des v3-stable Zweiges. Das Wichtigste zuerst: Dieser Release widmet sich einer Sicherheitslücke welche die $AllowedSender Anweisung nutzlos macht. Zusätzlich enthält dieser Release alle Bug-Fixes und Erweiterungen aus dem stable Release 3.20.2.

Security Advisory:
http://www.rsyslog.com/Article322.phtml

Download:
http://www.rsyslog.com/Downloads-req-viewdownloaddetails-lid-142.phtml

Change Log:
http://www.rsyslog.com/Article326.phtml
http://www.rsyslog.com/Article330.phtml

Alle Nutzer sind dazu angehalten auf diesen Release upzudaten. Es wird dringlich empfohlen für alle, nicht nur diejenigen welche von der Sicherheitslücke betroffen wären, sondern auch alle die TLS-basierte Kommunikation nutzen.

Releases für den Entwicklungszweig werden möglicherweise noch heute im Laufe des Tages veröffentlicht. Das git Archiv enthält alle relevanten Patches, falls jemand diese dringend benötigen sollte.

Wie immer würden wir uns über Feedback freuen. Wir hoffen, dass dieser Release nützlich ist.

Florian Riedl

Wir haben soeben rsyslog 3.20.2 veröffentlich, ein Release des v3-stable Zweiges. Das Wichtigste zuerst: Dieser Release widmet sich einer Sicherheitslücke welche die $AllowedSender Anweisung nutzlos macht. Zusätzlich enthält dieser Release einige Bug-Fixes, wie z.B. für ein Speicherleck welches richtig Ärger verursachen könnte, wenn TLS verwendet wird, sowie einige sehr kleine Erweiterungen (die als klein genug erachtet wurden, um sie im stable-Zweig durchzuführen).

Security Advisory:
http://www.rsyslog.com/Article322.phtml

Download:
http://www.rsyslog.com/Downloads-req-viewdownloaddetails-lid-141.phtml

Change Log:
http://www.rsyslog.com/Article323.phtml
http://www.rsyslog.com/Article329.phtml

Alle Nutzer sind dazu angehalten auf diesen Release upzudaten. Es wird dringlich empfohlen für alle, nicht nur diejenigen welche von der Sicherheitslücke betroffen wären, sondern auch alle die TLS-basierte Kommunikation nutzen.

Releases für den Beta- und den Entwicklungszweig werden möglicherweise noch heute im Laufe des Tages veröffentlicht. Das git Archiv enthält alle relevanten Patches, falls jemand diese dringend benötigen sollte.

Wie immer würden wir uns über Feedback freuen. Wir hoffen, dass dieser Release nützlich ist.

Florian Riedl

Cisco and Netscreen devices use an invalid framing when transmitting messages via TCP. Well, quite correctly, they use no framing at all, which is just plainly wrong. This results in messages via TCP not being correctly received.

For some in-depth information on this issue, please see the Cisco syslog/tcp framing anomaly thread.

Please note that there is no perfect cure for this problem other than Cisco fixing IOS (and Juniper doing the same to NetScreen). I personally have talked to Cisco and, judging from the response, there seems to be no fix expected in the near future. Also, already rolled out Cisco and Juniper software will probably never be updated. So there is an issue in any case.

A work-around can be implemented, in which an UDPesque mode is implemented, that is, everything received via a TCP send is accepted as one message. This works for reasonably low traffic and should not fail too much for higher traffic rates. As stated above, a 100% correct fix can not be found - this requires the vendors to fix their implementations.

While we are trying hard to make this feature available as quickly as possible, paid projects so far prevented us from working on the implementation. If you are interested in this feature, you may consider a sponsoring its implementation. That will promote it to the same priority as any paid project and that will obviously make a big difference.

The NetScreen issue has partly been mitigated since 4.1.3, for more information see this thread. Please note that the NetScreen fix does not improve the situation with Cisco. Even for NetScreen, the fix may not permanently solve the issue (but it will probably help a lot). So this request for sponsorship is kept open. The NetScreen work-around was sponsored by Adiscon.

The current estimate is that it requires a funding of 1,000 Euros (or equivalent in other currency) to implement that functionality.

The estimate is based on the assumption that the sponsor will be available for some testing conducted by the sponsor himself. This is especially important as we do not have any of the devices in question in our lab, so we can only simulate their misbehavior. As such, a practice test is absolutely necessary and can be carried out only be someone in possession of the devices.

Rainer Gerhards

The TCP and GSSAPI input modules currently support a single listener, only. It is desired that multiple listeners be supported.

There already exist an idea of how multiple listeners can be added (for example like in imudp). However, imtcp is much more complex due to the (historical) integration of the GSSAPI functionality into the imtcp module. There exist a lot of common code, and functionality is provided via callbacks from the common code to the module-specific code. One may argue whether or not this is a good approach, but it was driven by the (useful) desire to integrate GSSAPI and TCP.

Today, we have netstream classes and could redesign these outputs to rely on netstream. That would pretty much remove the complexity. However, that would require solid knowledge of GSSAPI. Unfortunately, that GSSAPI code was contributed and revamping it requires a non-trivial learning effort first. All in all, the redesign is a major undertaking in its own (someone up to sponsor such an effort?)

So as part of implementing multiple TCP listeners, the common GSSAPI/TCP code needs to be modified. Due to the complexities outlined above, this is not as trivial as one may think (including me each time I stumble across the topic...).

While we are trying hard to make this feature available as quickly as possible, paid projects so far prevented us from working on the implementation. If you are interested in this feature, you may consider a sponsoring its implementation. That will promote it to the same priority as any paid project and that will obviously make a big difference.

The current estimate is that it requires a funding of 2,500 Euros (or equivalent in other currency) to implement that functionality.

This estimate is further based on the assumption that we can use a fixed array of listeners, so there is an upper limit, e.g. 100 listeners. It is also based on the assumption that the sponsor will be available for some testing conducted by the sponsor himself (otherwise I would need to find some dedicated testers, it makes very little sense to have a program tested only by its developer himself...).

Rainer Gerhards

rsyslog 4.1.1, eine Release des Entwicklungs-Zweiges, wurde heute veröffentlicht.
Am wichtigsten ist, dass sie jetzt die Möglichkeit beinhaltet, nach der Startphase root-Rechte aufzugeben, selbst wenn Nachrichten auf privilegierten Netzwerkports empfangen werden sollen. Die Release beinhaltet außerdem einen Fix für ein Memory Leak in dem postgres-Modul und einen Fix für das klog input-Modul, welches unter BSD nicht kompiliert wurde.

Download:
http://www.rsyslog.com/Article317.phtml

Change Log:
http://www.rsyslog.com/Downloads-req-viewdownloaddetails-lid-140.phtml

Die "privilege drop" Funktion wurde in der rsyslog Mailingliste besprochen und, wenn auch noch nicht perfekt, scheint ein guter Service zu sein. Einige Einschränkungen werden hier beschrieben:

http://wiki.rsyslog.com/index.php/Security

Wir möchten uns für all eure aufgekommenen Meinungen bedanken. Falls es noch mehr Meinungen oder Kommentare geben sollte, teilt sie uns bitte mit. Fühlt euch bitte frei alles was von Interesse sein könnte in das Wiki zu schreiben. Wie Ihr seht sind wir wirklich sehr an Feedback von denen interessiert, die die neuen Funktionalitäten wirklich testen.

Wir hoffen sie ist eine nützliche Release.

Tom Bergfeld

Zurzeit wird die Entwicklung von rsyslog fast ausschließlich von Adiscon finanziert, einem Unternehmen, das sich auf Lösungen für die Infrastruktur von Linux und Windows spezialisiert hat. Adiscon bietet benutzerorientiertes Entwickeln und Beratungen für Infrastrukturprojekte an. Die Projekte rsyslog und phpLogCon wurden von Adiscon als Teil ihres Beitrags zu Logging-Lösungen in Unternehmen begonnen.
Adiscon's MonitorWare Produktpalette bietet eine Vielzahl auf Windows-basierender Logging-Systemen, die alle mit Linux-Tools kompatibel sind, an.

Auch wenn Sie das Projekt nicht finanziell unterstützen können, gibt es genug andere Wege, wie Sie ihren Beitrag leisten könnten. Schauen Sie sich dazu unsere how to help Sektion an, um zu sehen was Sie tun können.

Werden Sie Sponsor

Zusätzliche Sponsoren sind höchst willkommen. Es gibt einige Möglichkeiten wie man sponsern kann. Eine Möglichkeit ist das Projekt mit monatlichen Spenden zu unterstützen, was auch Sie hier auf die Sponsorenliste bringen könnte. Eine andere Möglichkeit wäre eine der rsyslog professional Dienstleistungen in Anspruch zu nehmen.

Eine ausgezeichnete Möglichkeit das Projekt zu sponsern ist eine der Funktionsimplementierungen, die im Folgenden beschrieben sind, zu übernehmen. Diese Funktionalität wird dauerhaft an den Sponsor gebunden (oder auch nicht, wenn sich der Sponsor so entscheiden sollte), was offensichtlich ein sehr guter Weg ist sein Engagement für open source zu zeigen. Und wenn Sie auf der Suche nach einer Funktion sind, die rsyslog noch nicht unterstützt, ist es um einiges kosteneffektiver diese Implementierung zu sponsern, als eine kostenpflichtige Lösung zu kaufen!

Wenn Sie gerade eine Idee für ein Feature haben schreiben Sie uns,um die Details zu besprechen. Nachstehend finden Sie eine Liste mit Funktionen, die nach Sponsoren suchen. Vielleicht beinhaltet sie schon das nach dem Sie suchen.

Klicken Sie hier, um einen Einblick in die Funktionen zu erhalten, die nach einem Sponsor suchen.

Hallo,

Wir haben heute rsyslog 4.1.0 veröffentlicht. Dies ist die erste Version aus dem Entwicklungszweig der kommenden V4-Serie. Das Hauptaugenmerk liegt auf Verbesserungen der Performance. Version 4.1.0 enthält viele Erweiterungen, welche die Engine viel mehr Events verarbeiten last als in den alten Versionen. Dies wurde möglich dank umfassender Änderungen im Kern von rsyslog. Daraus könnten sich neue Bugs ergeben haben. Daher sollte diese Version mit Vorsicht verwendet werden. Bitte bedenken Sie aber auch, dass diese Version zusätzliche Bugfixes und kleinere Funktionserweiterungen enthält, welche nicht in anderen Versionen enthalten sind.

Bitte melden Sie uns jedes Problem, welches beim Benutzen dieser Version auftritt. Vor allem sind wir interessiert an Problemen mit IPv6-fähigen Systemen ohne IPv6 Adressen. Derzeit liegt uns eine Problemmeldung für solch ein Szenario vor, welche wir noch nicht nachstellen konnten.

Falls Sie sich wundern: Es gibt derzeit noch keine Pläne für die erste Veröffentlichung einer v4-stable Version. Aber erwarten Sie sie nicht vor Februar 2009.

Download:

http://www.rsyslog.com/Downloads-req-viewdownloaddetails-lid-139.phtml

Changelog:

http://www.rsyslog.com/Article308.phtml


Florian Riedl

Rsyslog 3.21.7, der neue Beta-Zweig, wurde gerade veröffentlicht. Diese Version bringt alle Features aus dem aktuellen Entwickluns- zu dem Beta-Zweig mit. Sie beinhaltet ein Neues zusätzliches, und zwar die Möglichkeit eine nicht gefundene
reguläre Übereinstimmung mit einer "0" zu ersetzen. Das kann bei der Speicherung numerischer Werte in Datenbanken nützlich sein. Sie ist ein empfohlenes Update für alle Benutzer des Beta-Zweiges

Bitte nehmt zur Kenntnis, dass ein neuer Entwicklungs-Zweig in Kürze folgen wird. Momentan ist die Version des Entwicklungs-Zweiges älter als die Beta.

Download:

http://www.rsyslog.com/Downloads-req-viewdownloaddetails-lid-138.phtml

Change Log:

http://www.rsyslog.com/Article305.phtml

Wie immer würden wir uns über euer Feedback freuen.

Tom Bergfeld