あなたの/var/log/messages、データ紛失していませんか?

2013年6月10日 | 八子 武司

lgf01a201306042100

今回は、Linuxサーバのログについての話です。 

環境はCentOS 6.4です。

ログが捨てられている?

ログファイルの /var/log/messages でこのようなメッセージを見つけました。

Jun 10 14:31:01 www rsyslogd-2177: imuxsock begins to drop messages from pid 573 due to rate-limiting

なんだろうと思って、調べみました。
これは、rsyslogのrate-limitingという機能で、rsyslogが扱っているログファイルのメッセージが捨てられてしまっているという事がわかりました。
デフォルトでは200行まで出力すると、その後が捨てられるみたいですね。
大事なログが捨てられてしまっているとしたら困るな。。。
ということで、ログの切り捨てをしないように設定してみました。

rsyslogのrate-limitingを無効にする

rsyslog.confのコピーを残しておく。

# cp /etc/rsyslog.conf /etc/rsyslog.conf.org

rsyslog.confファイルをを開いて編集します。
$ModLoadディレクティブの所に、”$SystemLogRateLimitInterval 0”を追記。

# vi /etc/rsyslog.conf
# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # provides kernel logging support (previously done by rklogd)
#$ModLoad immark # provides --MARK-- message capability
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
$SystemLogRateLimitInterval 0 ←追記

rsyslogdをリスタートします。

# /etc/init.d/rsyslog restart

簡単ですね!

参考サイト

Are you losing system logging information (and don’t know it)?
https://isc.sans.edu/diary/Are+you+losing+system+logging+information+(and+don’t+know+it)%3F/15106

ログを紛失していないか?(SANS Internet Storm Center Diary 2013/2/6より)
http://www.nri-secure.co.jp/ncsirt/2013/0218.html

PICK UP

お問い合わせ

サービスに関するご相談は
こちらよりお気軽にお問い合わせください。

e-Agencyの様々な情報をSNSでお届けします!