あなたの/var/log/messages、データ紛失していませんか？│株式会社イー・エージェンシー

今回は、Linuxサーバのログについての話です。

環境はCentOS 6.4です。

ログが捨てられている？

ログファイルの /var/log/messages でこのようなメッセージを見つけました。

Jun 10 14:31:01 www rsyslogd-2177: imuxsock begins to drop messages from pid 573 due to rate-limiting

なんだろうと思って、調べみました。
これは、rsyslogのrate-limitingという機能で、rsyslogが扱っているログファイルのメッセージが捨てられてしまっているという事がわかりました。
デフォルトでは200行まで出力すると、その後が捨てられるみたいですね。
大事なログが捨てられてしまっているとしたら困るな。。。
ということで、ログの切り捨てをしないように設定してみました。

rsyslogのrate-limitingを無効にする

rsyslog.confのコピーを残しておく。

# cp /etc/rsyslog.conf /etc/rsyslog.conf.org

rsyslog.confファイルをを開いて編集します。
$ModLoadディレクティブの所に、”$SystemLogRateLimitInterval 0”を追記。

# vi /etc/rsyslog.conf
# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # provides kernel logging support (previously done by rklogd)
#$ModLoad immark # provides --MARK-- message capability
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
$SystemLogRateLimitInterval 0 ←追記

rsyslogdをリスタートします。