Смоленск 1.5 kernel.mlog забивает жесткий диск

Montfer

New member
Сообщения
2 364
#1
Подскажите, пожалуйста, что делать.
В общем, не знаю из-за чего, но на одном компе постоянно забивается жесткий диск логами. Создал в /etc/logrotate.d/kernlog файл как указано у вас в вики
/var/log/parsec/kernel.mlog {
size 100M
missingok
rotate 7
compress
notifempty
postrotate
/etc/init.d/parlogd restart > /dev/null
endscript
}
НО и это не помогло - ротация не происходит и системе как будто наплевать на ограничение в 100 МБ, кидает логи в один файл, пока совсем не забьет диск. Вычитал, что можно отключить логирование командой echo 1 > /parsecfs/disable-non-mac-audit. kernel.mlog перестает расти в размере, но до очередной перезагрузки. Каждое утро бегать к этому компу не хочется. Может быть есть другой способ решить проблему?
 

yurikbest

New member
Сообщения
11
#6
Все задачи находящиеся в /etc/logrotate.d/kernlog и так будут выполнятся службой cron.

Можно посмотреть на сколько правильно написаны правила для ротации
logrotate -d /etc/logrotate.conf

для примера:
https://stackoverflow.com/questions/2117771/is-it-possible-to-run-one-logrotate-check-manually
 

ulv

Moderator
Team Astra Linux
Сообщения
26
#7
все конфиги logrotate выполняются раз в день. Можно самому посмотреть на команду в файле:
/etc/cron.daily/logrotate
Если файл лога переполняется быстрее, то надо вызывать команду чаще.
 

Montfer

New member
Сообщения
2 364
#9
так делать не надо. Надо снять флаги аудита с пользователя - закладка "аудит" в упралялке пользователя.
я понял, что это не эффективно, но такая команда прописана в каком то из документов русбитеха (то ли по сзи, то ли по администрированию). Настройки закладки аудита не смогу изменить, не в моих полномочиях.
Вот придумал еще через crontab -e
0 1 * * * cat /dev/null > /var/log/parsec/kernel.mlog
Между последним знаком * и cat поставил tab
Не знаю, поможет ли, но больше вариантов не знаю. Вариант из вики астры с crontab не помог
 

ulv

Moderator
Team Astra Linux
Сообщения
26
#10
/etc/logrotate.d/kernlog файл как указано у вас в вики
/var/log/parsec/kernel.mlog {
size 100M
missingok
rotate 7
compress
notifempty
postrotate
/etc/init.d/parlogd restart > /dev/null
endscript
}
rotate 7 - это кол-во сохраненных копий файлов, замените на минимальный.
Вызвать logrotate можно командой:
Bash:
/usr/sbin/logrotate /etc/logrotate.d/kernlog
Вызовите и посмотрите, что он сделал с файлами аудита
 

Montfer

New member
Сообщения
2 364
#11
rotate 7 - это кол-во сохраненных копий файлов, замените на минимальный.
Вызвать logrotate можно командой:
Bash:
/usr/sbin/logrotate /etc/logrotate.d/kernlog
Вызовите и посмотрите, что он сделал с файлами аудита
Перед вводом команды usr/sbin/logrotate /etc/logrotate.d/kernlog в /var/log/parsec/ были два файла kernel.mlog.2.gz (весом 49мб) и kernel.mlog (весом 3,44 Гб). После ввода команды стало:
kernel.mlog (0 б), kernel.mlog.1 (3,44 Гб), kernel.mlog.1.gz (его размер ежесекундно рос примерно на 0,5 мб) и kernel.mlog.2.gz (49 мб).
Потом удалил все эти файлы. Тут же появился новый файл kernel.mlog (его размер так же быстро увеличивался), подождал, пока наберется более 100 Мб (а именно столько указан size) и повторно выполнил команду. Появился файл kernel.mlog.1.gz размером 5,84 Мб и новый файл kernel.mlog, размер которого быстро рос.

Кстати, ради интереса в "Политике безопасности" - "Аудит" убрал все галочки. Но это тоже не помогло.
 

markjob

New member
Сообщения
39
#12
Перед вводом команды usr/sbin/logrotate /etc/logrotate.d/kernlog в /var/log/parsec/ были два файла kernel.mlog.2.gz (весом 49мб) и kernel.mlog (весом 3,44 Гб). После ввода команды стало:
kernel.mlog (0 б), kernel.mlog.1 (3,44 Гб), kernel.mlog.1.gz (его размер ежесекундно рос примерно на 0,5 мб) и kernel.mlog.2.gz (49 мб).
Потом удалил все эти файлы. Тут же появился новый файл kernel.mlog (его размер так же быстро увеличивался), подождал, пока наберется более 100 Мб (а именно столько указан size) и повторно выполнил команду. Появился файл kernel.mlog.1.gz размером 5,84 Мб и новый файл kernel.mlog, размер которого быстро рос.

Кстати, ради интереса в "Политике безопасности" - "Аудит" убрал все галочки. Но это тоже не помогло.
Галочки снимали в нулевом режиме?
 

Montfer

New member
Сообщения
2 364
#14
на тестовой машине вроде бы получилось. Полагаю, что моя ошибка заключалась в том, что не делал отступ в crontab -e между закомментированной строкой # m h dom mon dow command и введенной строкой 0 * * * * logrotate /etc/logrotate.d/kernlog, как это показано на вики странице. Если удастся тоже самое повторить на проблемной машине, отпишусь
 

GRamoboi

New member
Сообщения
65
#15
А у меня вообще почему-то не пишется этот лог, 0 и все, все перековырял. Кто подскажет где искать проблему? А user.mlog пишет нормально. parlogd -k: операция не позволяется
 

Вложения

markjob

New member
Сообщения
39
#16
на тестовой машине вроде бы получилось. Полагаю, что моя ошибка заключалась в том, что не делал отступ в crontab -e между закомментированной строкой # m h dom mon dow command и введенной строкой 0 * * * * logrotate /etc/logrotate.d/kernlog, как это показано на вики странице. Если удастся тоже самое повторить на проблемной машине, отпишусь

Можно через fly-admin-cron.
 

Montfer

New member
Сообщения
2 364
#17
Немного поздно уже, но спасибо, буду и про такой вариант знать.

Добавлю, что хоть через crontab -e хоть через fly-admin-cron ротация срабатывает, если ввести команду sudo logrotate /etc/logrotate.d/kernlog
Без sudo почему то не запускается. Ну и ладно.
А у меня вообще почему-то не пишется этот лог, 0 и все, все перековырял. Кто подскажет где искать проблему? А user.mlog пишет нормально. parlogd -k: операция не позволяется
Насколько я понял, kernel.mlog начинает писаться, если поставить галочки в аудите.
 

GRamoboi

New member
Сообщения
65
#18
Немного поздно уже, но спасибо, буду и про такой вариант знать.

Добавлю, что хоть через crontab -e хоть через fly-admin-cron ротация срабатывает, если ввести команду sudo logrotate /etc/logrotate.d/kernlog
Без sudo почему то не запускается. Ну и ладно.

Насколько я понял, kernel.mlog начинает писаться, если поставить галочки в аудите.
Вообщем после установки ald, он полностью принимает управление этим делом. В ald поставил аудит и все пошло