BLOGTIMES
2014/06/07

/var/log/messages に出る imuxsock begins to drop messages というログ

  systemmanagemant  linux 
このエントリーをはてなブックマークに追加

ちょっとしたバッチのログは logger コマンドで syslog にメッセージを吐くようにしているのですが、ふと /var/log/messages を覗いてみたら imuxsock begins to drop messages というメッセージが出てすべてのログが取得できていないという失態をやらかしてしまったので rsyslog の設定を変更しました。

これまで1、2行くらいしかログを出力するものがなかったので、こういう落とし穴があることに気づいていませんでしたが、以外とハマりやすいポイントなのかもしれません。設定の変更にあたっては以下の NRI セキュアのウェブを参考にしました。

ログを紛失していないか? | NCSIRTアドバイザリ | 情報セキュリティのNRIセキュア

メッセージの原因はこうだ。最近のLinuxディストリビューションであれば、その多くにsyslogdあるいはsysklogdを置き換えるrsyslogが付属している。しかし、rsyslogのバージョン5.7.1から、rate-limitingという機能が追加され、5秒間に/var/log/messagesへ200以上のメッセージ(rsyslogのデフォルト設定)を送信したプロセスID(PID)があれば、rsyslogはメッセージを捨て始め、/var/log/messagesに以下のような警告を出力する。
Feb 5 13:07:52 plugh rsyslogd-2177: imuxsock begins to drop messages from pid 12105 due to rate-limiting

設定の書き換えは1カ所なので簡単です。後は service rsyslog restart で OK。

/etc/rsyslog.conf

--- rsyslog.conf.org 2013-08-15 20:24:42.000000000 +0900 +++ rsyslog.conf 2014-06-07 16:56:12.419989489 +0900 @@ -30,6 +30,7 @@ # Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf +$SystemLogRateLimitInterval 0

    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/6774
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン