/var/log/messages に出る imuxsock begins to drop messages というログ

ちょっとしたバッチのログは logger コマンドで syslog にメッセージを吐くようにしているのですが、ふと /var/log/messages を覗いてみたら imuxsock begins to drop messages というメッセージが出てすべてのログが取得できていないという失態をやらかしてしまったので rsyslog の設定を変更しました。

これまで1、2行くらいしかログを出力するものがなかったので、こういう落とし穴があることに気づいていませんでしたが、以外とハマりやすいポイントなのかもしれません。設定の変更にあたっては以下の NRI セキュアのウェブを参考にしました。

ログを紛失していないか？ | NCSIRTアドバイザリ | 情報セキュリティのNRIセキュア

メッセージの原因はこうだ。最近のLinuxディストリビューションであれば、その多くにsyslogdあるいはsysklogdを置き換えるrsyslogが付属している。しかし、rsyslogのバージョン5.7.1から、rate-limitingという機能が追加され、5秒間に/var/log/messagesへ200以上のメッセージ(rsyslogのデフォルト設定)を送信したプロセスID(PID)があれば、rsyslogはメッセージを捨て始め、/var/log/messagesに以下のような警告を出力する。

Feb 5 13:07:52 plugh rsyslogd-2177: imuxsock begins to drop messages from pid 12105 due to rate-limiting

設定の書き換えは1カ所なので簡単です。後は service rsyslog restart で OK。

/etc/rsyslog.conf