/var/log/messageに「imuxsock begins to drop messages」と表示される(ログ紛失)

messageに「imuxsock begins to drop messages」と表示される

CentOS 6.9のサーバで「/var/log/message」に「imuxsock begins to drop messages」と表示されログが紛失しているサーバがありました。

Dec  5 14:30:01 mail1 rsyslogd-2177: imuxsock begins to drop messages from pid 7865 due to rate-limiting
Dec  5 14:30:02 mail1 rsyslogd-2177: imuxsock lost 1023 messages from pid 7865 due to rate-limiting
Dec  5 14:42:10 mail1 rsyslogd-2177: imuxsock begins to drop messages from pid 7865 due to rate-limiting
Dec  5 14:42:14 mail1 rsyslogd-2177: imuxsock lost 615 messages from pid 7865 due to rate-limiting
Dec  5 14:52:10 mail1 rsyslogd-2177: imuxsock begins to drop messages from pid 7865 due to rate-limiting
Dec  5 14:52:20 mail1 rsyslogd-2177: imuxsock lost 1164 messages from pid 7865 due to rate-limiting
Dec  5 15:02:10 mail1 rsyslogd-2177: imuxsock begins to drop messages from pid 7865 due to rate-limiting
Dec  5 15:02:22 mail1 rsyslogd-2177: imuxsock lost 1539 messages from pid 7865 due to rate-limiting

rsyslogのrate-limitingという機能で、デフォルトでは200行まで出力するとそれ以降は切り捨てられます。
このサーバはメールサーバで該当時間帯に長いログがありましたので、その分が破棄されたので「/var/log/message」に上記のメッセージが残ったようです

rsyslogのrate-limitingの設定変更【対策】

「 /etc/syslog.conf 」のrate-limitingのメッセージ数を設定すれば、ログが切り捨てられる事はなくなります。

受信するメッセージ数を変更するのは「SystemLogRateLimitInterval 」、「SystemLogRateLimitBurst」の値を変更します
下記の設定では、10秒間に1000以上のメッセージを1つのPIDから受信した場合は、ログが破棄する設定にしています

# vi /etc/rsyslog.conf
$SystemLogRateLimitInterval 10
$SystemLogRateLimitBurst 1000

ログは切り捨てない設定は、「SystemLogRateLimitInterval 0」としてログを切り捨てずに保存する設定にします
# vi /etc/rsyslog.conf
$SystemLogRateLimitInterval 0

設定を変更したら、「rsyslog」を再起動します
# /etc/init.d/rsyslog restart

 

スポンサーリンク