Nowe posty

Autor Wątek: Katalog/var/log załadowany.  (Przeczytany 2685 razy)

Offline spawel55

  • Nowy na forum
  • *
  • Wiadomości: 21
    • Zobacz profil
Katalog/var/log załadowany.
« dnia: 2021-10-02, 22:00:46 »
Witam wszystkich.
Zainstalowany mam system Linux Mint  20.2 Mate a moim problemem jest błyskawiczne zapełnianie się katalogu log z plikiem "syslog" który urasta do nawet kilkudziesięciu GB oraz katalog Journal który osiąga kilka a nawet kilkanaście GB. I wszystko to dzieje się w ciągu dwóch, trzech dni.
Proszę o jakąś pomoc co można zrobić.

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2811
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #1 dnia: 2021-10-02, 23:18:24 »
Po pierwsze: co jest w tych logach. Żaden z kilkunastu komputerów pod moją opieką nie generuje takich ilości logów.
Może umiera ci jakiś komponent sprzętowy (dysk, RAM, chłodzenie) i logi zapychają się "uprzejmie donoszę, że Xxx się zjebao", którego nikt nie czyta...
Może firewall coś loguje a masz DDOSa.
Może w czymś włączyłeś logi debugowe.
« Ostatnia zmiana: 2021-10-02, 23:22:57 wysłana przez Paweł Kraszewski »
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 372
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #2 dnia: 2021-10-03, 08:38:18 »
Pokaż ostrzeżenia / błędy przynajmniej z ostatniego uruchomienia:
sudo su -
journalctl -q -b -p 3..3
journalctl -q -b -p 4..4

Pokaż wynik (-exec zamiast -ls dla wygodniejszego pokazania wielkości plików):
find /var/log -type f -exec ls -lah {} \;

Jak to wykonasz to wstaw wynik każdego polecenia w osobnym tagu CODE.
marcin82

Offline spawel55

  • Nowy na forum
  • *
  • Wiadomości: 21
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #3 dnia: 2021-10-03, 10:25:37 »
Oczywiście, że wykonam te polecenia ale muszę trochę poczekać gdyż tamte musiałem usunąć bo system już ledwo zipał. Jeszcze dopowiem, że to zapełnienie dysku nastąpiło na świeżutko postawionym systemie po około trzech dniach. Nic nie było kombinowane ani instalowane, tylko internet.
Na początku myślałem, że może coś się w nowym jądrze dzieje więc zszedłem na niższą wersję ale ten sam skutek.

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 372
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #4 dnia: 2021-10-03, 10:46:51 »
Zresztą jak będzie coś ważnego to i tak się pokaże. Najpierw ucywilizuj journald:
sudo su -
systemctl stop systemd-journald
find /var/log/journal -type f -delete
mkdir -p /etc/systemd/journald.conf.d/
cat <<EOF >/etc/systemd/journald.conf.d/custom.conf
Storage=persistent
SplitMode=none
MaxLevelStore=info
SystemMaxUse=256M
EOF
systemctl start systemd-journald

Druga część instrukcji - dotyczy rsyslog.

systemctl stop rsyslog
find /var/log -maxdepth 1 -type f -exec truncate -s0 {} \;
systemctl start rsyslog



« Ostatnia zmiana: 2021-10-03, 12:50:38 wysłana przez marcin'82 »
marcin82

Offline spawel55

  • Nowy na forum
  • *
  • Wiadomości: 21
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #5 dnia: 2021-10-04, 15:18:51 »
Pliki się dzisiaj powiększyły "syslog" 13.5 GB, i "journal" 4 GB i przesyłam je w załącznikach.
Przepraszam, że w takiej formie ale w innej nie potrafię. Ale na naukę nigdy nie jest za późno.

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2811
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #6 dnia: 2021-10-04, 17:09:28 »
Bardziej zainteresuje nas koniec logu, niż jego początek...

find /var/log -size +1G -exec tail -n250 '{}' ';'

Po ludzku - znajdź wszystkie pliki większe niż 1GB i wyświetl ostatnie 250 linii.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline spawel55

  • Nowy na forum
  • *
  • Wiadomości: 21
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #7 dnia: 2021-10-04, 19:41:53 »
Niestety to polecenie już nie działa Panie Pawle gdyż pliki zostały wyzerowane.
A z załączonych załączników o numerze 3 podaje wielkość plików m.in ten 13.5 GB

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 372
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #8 dnia: 2021-10-04, 19:55:53 »
Dobra, pokaż wynik polecenia czy wszystko zostało dobrze zrobione:
systemctl status systemd-journald

Zainstaluj i uruchom midnight commander:
sudo mc

Przejdź do katalogu /var/log i pousuwaj wszystkie pliki z końcówką .gz i .1. Zobaczymy co się objawi po kilku dniach i jakiej wielkości będą pliki. Zaznaczenie masz pod Insert, usunięcie z potwierdzeniem pod F8.
marcin82

Offline spawel55

  • Nowy na forum
  • *
  • Wiadomości: 21
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #9 dnia: 2021-10-04, 21:56:54 »
Wynik polecenia:

spawel@spawel-Latitude-E4300:~$ sudo systemctl status systemd-journald
[sudo] hasło użytkownika spawel:           
● systemd-journald.service - Journal Service
     Loaded: loaded (/lib/systemd/system/systemd-journald.service; static; vendor preset: enabled)
     Active: active (running) since Mon 2021-10-04 15:25:32 CEST; 6h ago
TriggeredBy: ● systemd-journald.socket
             ● systemd-journald-dev-log.socket
             ● systemd-journald-audit.socket
       Docs: man:systemd-journald.service(8)
             man:journald.conf(5)
   Main PID: 292 (systemd-journal)
     Status: "Processing requests..."
      Tasks: 1 (limit: 6968)
     Memory: 13.7M
     CGroup: /system.slice/systemd-journald.service
             └─292 /lib/systemd/systemd-journald

paź 04 15:25:32 spawel-Latitude-E4300 systemd-journald[292]: Journal started
paź 04 15:25:32 spawel-Latitude-E4300 systemd-journald[292]: Runtime Journal (/run/log/journal/7a0781c5129d4f>
paź 04 15:25:32 spawel-Latitude-E4300 systemd-journald[292]: Time spent on flushing to /var/log/journal/7a078>
paź 04 15:25:32 spawel-Latitude-E4300 systemd-journald[292]: System Journal (/var/log/journal/7a0781c5129d4f8>
Warning: journal has been rotated since unit was started, output may be incomplete.

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 372
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #10 dnia: 2021-10-04, 21:58:13 »
Najważniejszego nie ma :d

journalctl --disk-usage

Utworzyłeś ten plik co pisałem wcześniej?
/etc/systemd/journald.conf.d/custom.conf
marcin82

Offline spawel55

  • Nowy na forum
  • *
  • Wiadomości: 21
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #11 dnia: 2021-10-05, 12:29:41 »
spawel@spawel-Latitude-E4300:~$ sudo journalctl --disk-usage
[sudo] hasło użytkownika spawel:           
Archived and active journals take up 40.0M in the file system.

A ten podany plik został utworzony.

Offline spawel55

  • Nowy na forum
  • *
  • Wiadomości: 21
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #12 dnia: 2021-10-08, 17:12:51 »
Szanowni Panowie
Od ostatniego wpisu do dzisiaj system zachowywał się normalnie tak jak powinien.
Ale przed chwilą odpaliłem sprzęt i moim oczom ukazał się piękny widok "syslog1" ma 15,8 GB a "journal" 4,1 GB.
Jakieś inne pomysły?

Offline robson75

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 317
    • Zobacz profil
Arch Linux Xfce+compiz - 64Bit Linux User #621110
anarchyinstaller

Offline marcin'82

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 372
    • Zobacz profil
Odp: Katalog/var/log załadowany.
« Odpowiedź #14 dnia: 2021-10-08, 18:52:57 »
spawel55

Teraz podaj wynik polecenia, o wynik którego pytał Paweł Kraszewski:
find /var/log -size +1G -exec tail -n250 '{}' ';'

Podaj też wynik takich poleceń:
journalctl -q -p 3..3
journalctl -q -p 4..4
marcin82