/var/log/messageに「imuxsock begins to drop messages」と表示される(ログ紛失)
messageに「imuxsock begins to drop messages」と表示される
CentOS 6.9のサーバで「/var/log/message」に「imuxsock begins to drop messages」と表示されログが紛失しているサーバがありました。
Dec 5 14:30:01 mail1 rsyslogd-2177: imuxsock begins to drop messages from pid 7865 due to rate-limiting Dec 5 14:30:02 mail1 rsyslogd-2177: imuxsock lost 1023 messages from pid 7865 due to rate-limiting Dec 5 14:42:10 mail1 rsyslogd-2177: imuxsock begins to drop messages from pid 7865 due to rate-limiting Dec 5 14:42:14 mail1 rsyslogd-2177: imuxsock lost 615 messages from pid 7865 due to rate-limiting Dec 5 14:52:10 mail1 rsyslogd-2177: imuxsock begins to drop messages from pid 7865 due to rate-limiting Dec 5 14:52:20 mail1 rsyslogd-2177: imuxsock lost 1164 messages from pid 7865 due to rate-limiting Dec 5 15:02:10 mail1 rsyslogd-2177: imuxsock begins to drop messages from pid 7865 due to rate-limiting Dec 5 15:02:22 mail1 rsyslogd-2177: imuxsock lost 1539 messages from pid 7865 due to rate-limiting
rsyslogのrate-limitingという機能で、デフォルトでは200行まで出力するとそれ以降は切り捨てられます。
このサーバはメールサーバで該当時間帯に長いログがありましたので、その分が破棄されたので「/var/log/message」に上記のメッセージが残ったようです
rsyslogのrate-limitingの設定変更【対策】
「 /etc/syslog.conf 」のrate-limitingのメッセージ数を設定すれば、ログが切り捨てられる事はなくなります。
受信するメッセージ数を変更するのは「SystemLogRateLimitInterval 」、「SystemLogRateLimitBurst」の値を変更します
下記の設定では、10秒間に1000以上のメッセージを1つのPIDから受信した場合は、ログが破棄する設定にしています
# vi /etc/rsyslog.conf $SystemLogRateLimitInterval 10 $SystemLogRateLimitBurst 1000
ログは切り捨てない設定は、「SystemLogRateLimitInterval 0」としてログを切り捨てずに保存する設定にします
# vi /etc/rsyslog.conf $SystemLogRateLimitInterval 0
設定を変更したら、「rsyslog」を再起動します
# /etc/init.d/rsyslog restart