Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 4 subscribers
  • Views 4987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Log file partition is filling up

MueTi

Wir erhalten Meldungen, dass auf einer SG450, HA Node2 (Slave), die Logpartion einen Schwellwert (>65%) erreicht. Auf dem Master liegt die Auslastung laut daily report  mit dem Maximum <60% . Was läuft hier falsch bzw. kann ich prüfen?



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    What do you see from:

         du -shx /var/log/* | sort -rh | head -10

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    On master:
    50G /var//log/http
    2.3G /var//log/reporting
    896M /var//log/http.log
    501M /var//log/confd-debug
    284M /var//log/reverseproxy
    163M /var//log/packetfilter
    75M /var//log/red
    63M /var//log/confd-debug.log
    24M /var//log/packetfilter.log
    15M /var//log/confd

    Im daily report sehe ich:


    On slave:
    50G /var//log/http
    2.3G /var//log/reporting
    909M /var//log/http.log
    502M /var//log/confd-debug
    284M /var//log/reverseproxy
    163M /var//log/packetfilter
    75M /var//log/red
    64M /var//log/confd-debug.log
    24M /var//log/packetfilter.log
    15M /var//log/confd

    Was mich wundert ist, dass die Meldung ja vom Slave kommt:
    The log file partition usage reached 66 percent
    HA Status          : HA SLAVE (node id: 2)

  • 0 in reply to MueTi

    na ja, die 55% sind von den 60 des slave ja nicht mehr weit entfernt ... da reicht ein verklemmtes uralt-log, ein paar TCP-Dumps o.Ä. aus der Zeit als er mal Maser war um die Grenze zu erreichen.

    HTTP scheint recht groß zu sein ... wie sieht es denn bei den Aufbewahrungszeiten und der Logtiefe für WebRequests aus? 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Die erste Meldung kommt bei 65%, nicht bei 60%. Mehr als 10% Unterschied, finde ich schon heftig. Und wieso überhaupt auf dem Slave?
    Aufbewahrungszeiten sind 90 Tage. Bezgl. Logtiefe: Wo kann ich denn überhaupt einstellen, was gelooged werden soll und was nicht? Das kenne ich nicht oder meinst Du was anderes?

Reply
  • 0 in reply to dirkkotte

    Die erste Meldung kommt bei 65%, nicht bei 60%. Mehr als 10% Unterschied, finde ich schon heftig. Und wieso überhaupt auf dem Slave?
    Aufbewahrungszeiten sind 90 Tage. Bezgl. Logtiefe: Wo kann ich denn überhaupt einstellen, was gelooged werden soll und was nicht? Das kenne ich nicht oder meinst Du was anderes?

Children
  • 0 in reply to MueTi

    die logtiefe ist zu finden unter Web Reporting Settings \ Protection Reporting Detail Level

    Das habe ich fast immer auf "Domain only"

    Da die Werte in /var/log nahezu gleich sind, denke ich da gibt es an anderen Stellen "Reste".
    Vergleiche mal mittels df die Platten auf Master + Slave.

    Wenn etwas verdächtig ist, mit "cd" in das Verzeichnis gehen und mit du -shx ./* | sort -rh | head -10 weitersuchen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Domain only ist auch bei uns eingestellt.

    Bezgl. Plattenvergleich bin ich mit Deiner Angabe hilflos...bin kein Linux-Kenner. Könntest Du das bitte etwas ausführlicher beschreiben?

  • 0 in reply to MueTi

    führe mal df auf Master und Slave aus.

    das Zeigt die Partitionsgrößen und deren Füllstand.

    Mit dem Ergebnis können wir dann evtl. was anfangen...


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Master:
    Filesystem 1K-blocks Used Available Use% Mounted on
    /dev/md0p6 5412452 3566476 1547996 70% /
    udev 8163276 100 8163176 1% /dev
    tmpfs 8163276 104 8163172 1% /dev/shm
    /dev/md0p1 338875 16280 300579 6% /boot
    /dev/md0p5 87535436 27557292 55285820 34% /var/storage
    /dev/md0p7 114709672 60664588 47903288 56% /var/log
    /dev/md0p8 4739156 168744 4306632 4% /tmp
    /dev 8163276 100 8163176 1% /var/storage/chroot-clientlessv pn/dev
    tmpfs 8163276 0 8163276 0% /var/sec/chroot-httpd/dev/shm
    /dev 8163276 100 8163176 1% /var/sec/chroot-openvpn/dev
    /dev 8163276 100 8163176 1% /var/sec/chroot-ppp/dev
    /dev 8163276 100 8163176 1% /var/sec/chroot-pppoe/dev
    /dev 8163276 100 8163176 1% /var/sec/chroot-pptp/dev
    /dev 8163276 100 8163176 1% /var/sec/chroot-pptpc/dev
    /dev 8163276 100 8163176 1% /var/sec/chroot-restd/dev
    tmpfs 8163276 0 8163276 0% /var/storage/chroot-reverseprox y/dev/shm
    /opt/tmpfs 5412452 3566476 1547996 70% /var/sec/chroot-httpd/opt/tmpfs
    /etc/nwd.d/route 5412452 3566476 1547996 70% /var/sec/chroot-ipsec/etc/nwd.d /route
    /var/storage/chroot-smtp/spool 87535436 27557292 55285820 34% /var/sec/chroot-httpd/var/spx/s pool
    /var/storage/chroot-smtp/spx 87535436 27557292 55285820 34% /var/sec/chroot-httpd/var/spx/p ublic/images/spx
    tmpfs 8163276 2344 8160932 1% /var/storage/chroot-http/tmp
    /var/sec/chroot-afc/var/run/navl 5412452 3566476 1547996 70% /var/storage/chroot-http/var/ru n/navl
    tmpfs 8163276 96 8163180 1% /var/storage/chroot-smtp/tmp/ra m
    /var/storage 87535436 27557292 55285820 34% /var/sec/chroot-snmp/var/storag e
    /var/log 114709672 60664588 47903288 56% /var/sec/chroot-snmp/var/log

    Slave:
    Filesystem 1K-blocks Used Available Use% Mounted on
    /dev/md0p6 5412452 3352680 1761792 66% /
    udev 8163268 100 8163168 1% /dev
    tmpfs 8163268 104 8163164 1% /dev/shm
    /dev/md0p1 338875 16279 300580 6% /boot
    /dev/md0p5 87535436 32548616 50294496 40% /var/storage
    /dev/md0p7 114709672 60666860 47901016 56% /var/log
    /dev/md0p8 4739156 164704 4310672 4% /tmp
    /dev 8163268 100 8163168 1% /var/storage/chroot-clientlessvpn/dev
    tmpfs 8163268 0 8163268 0% /var/sec/chroot-httpd/dev/shm
    /dev 8163268 100 8163168 1% /var/sec/chroot-openvpn/dev
    /dev 8163268 100 8163168 1% /var/sec/chroot-ppp/dev
    /dev 8163268 100 8163168 1% /var/sec/chroot-pppoe/dev
    /dev 8163268 100 8163168 1% /var/sec/chroot-pptp/dev
    /dev 8163268 100 8163168 1% /var/sec/chroot-pptpc/dev
    /dev 8163268 100 8163168 1% /var/sec/chroot-restd/dev
    tmpfs 8163268 0 8163268 0% /var/storage/chroot-reverseproxy/dev/shm
    /opt/tmpfs 5412452 3352680 1761792 66% /var/sec/chroot-httpd/opt/tmpfs
    /var/storage 87535436 32548616 50294496 40% /var/sec/chroot-snmp/var/storage
    /var/log 114709672 60666860 47901016 56% /var/sec/chroot-snmp/var/log
    /etc/nwd.d/route 5412452 3352680 1761792 66% /var/sec/chroot-ipsec/etc/nwd.d/route
    /var/storage/chroot-smtp/spool 87535436 32548616 50294496 40% /var/sec/chroot-httpd/var/spx/spool
    /var/storage/chroot-smtp/spx 87535436 32548616 50294496 40% /var/sec/chroot-httpd/var/spx/public/images/spx
    tmpfs 8163268 0 8163268 0% /var/storage/chroot-http/tmp
    /var/sec/chroot-afc/var/run/navl 5412452 3352680 1761792 66% /var/storage/chroot-http/var/run/navl
    tmpfs 8163268 96 8163172 1% /var/storage/chroot-smtp/tmp/ram

  • 0 in reply to MueTi

    So schlecht sieht das alles gar nicht aus. /var/storage ist auf dem Slave etwas voller ... das könnte ein liegen gebliebenes update-paket sein. Aber Sonst ...

    Was sagt denn der HA-Systemstatus?

     

    oder

    Logging & Reporting / Hardware / .. unter  "select system:"  dein SlaveGerät   zum Anstieg der Log-Nutzung?

    Es gibt ein paar LogFiles, welche Geräte-Spezifisch sind daher auf den Geräten unterschiedlich ...

    Wenn es also rel. stabil um diese Werte pendelt ... würde ich die Meldeschwelle heraufsetzen.

    Wie viele Nutzer gehen denn über die Geräte?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Erst einmal vielen Dank für Deine Mühen Thumbsup

    HA-Status:

    Der Anstieg auf dem Slave ist überschaubar:


    Aktive, gleichzeitige Nutzer schätze ich max. 600. Performanceprobleme hatten wir in der Vergangenheit nicht. Der Hinweis mit dem liegengebliebenen Update erscheint gar nicht so verkehrt, da es bei letzten Update von 9.705 auf 9.707 Probleme gab und ein rebuild der Database durchgeführt werden musste.

    Ich nehme jetzt einmal mit, dass wohl kein akutes Problem vorliegt. Ich werde das Thema mal im Auge behalten und schauen, wie´s weitergeht. Nochmals vielen Dank.

Unfiltered HTML