今回は、Linuxサーバのログについての話です。
環境はCentOS 6.4です。
ログが捨てられている?
ログファイルの /var/log/messages でこのようなメッセージを見つけました。
Jun 10 14:31:01 www rsyslogd-2177: imuxsock begins to drop messages from pid 573 due to rate-limiting |
なんだろうと思って、調べみました。
これは、rsyslogのrate-limitingという機能で、rsyslogが扱っているログファイルのメッセージが捨てられてしまっているという事がわかりました。
デフォルトでは200行まで出力すると、その後が捨てられるみたいですね。
大事なログが捨てられてしまっているとしたら困るな。。。
ということで、ログの切り捨てをしないように設定してみました。
rsyslogのrate-limitingを無効にする
rsyslog.confのコピーを残しておく。
# cp /etc/rsyslog.conf /etc/rsyslog.conf.org |
rsyslog.confファイルをを開いて編集します。
$ModLoadディレクティブの所に、”$SystemLogRateLimitInterval 0”を追記。
# vi /etc/rsyslog.conf # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html #### MODULES #### $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) #$ModLoad immark # provides --MARK-- message capability # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 $SystemLogRateLimitInterval 0 ←追記 |
rsyslogdをリスタートします。
# /etc/init.d/rsyslog restart |
簡単ですね!
参考サイト
Are you losing system logging information (and don’t know it)?
https://isc.sans.edu/diary/Are+you+losing+system+logging+information+(and+don’t+know+it)%3F/15106
ログを紛失していないか?(SANS Internet Storm Center Diary 2013/2/6より)
http://www.nri-secure.co.jp/ncsirt/2013/0218.html
