PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mailserver: plötzlich kein logging mehr



magic_halli
13.08.07, 12:10
Hi,

ich habe hier seit langem einen Mailserver (fetchmail-postfix-cyrus) am laufen. Es klappt auch alles wunderbar.
Nur wird seit gestern Abend komischerweise kein Maillog mehr geführt... d.h. in die Dateien /var/log/mail und /var/log/mail.info wird einfach nicht mehr geschrieben!!!
Somit kann ich das Senden und Empfangen von Mails nicht mehr richtig verfolgen. Die einzige Möglichkeit ist nun nur noch, die Datei /var/log/fetchmail, welche mir zumindest anzeigt, dass Mails beim Provider abgeholt werden und die Datei /var/log/amavis.log (Spamfilter), die mir anzeigt, welche Mails ins System reinkamen und ob diese Spam oder kein Spam sind.
Ich brauche aber die Maillogs!!! Wieso werden die auf einmal nicht mehr mitgeschrieben???

Den einzigen Ansatz hierzu kann evtl. das Logfile /var/log/mail.warn liefern. Der letzte Eintrag ist von gestern und ziemlich seltsam:

Aug 12 06:17:05 v1 postfix/postdrop[8471]: warning: uid=0: No space left on device
Mh, uid=0 müsste root sein?! Aber no space left on device kann nicht sein, da ich noch einige GB auf Platte frei habe!
Ein 'df' per Konsole zeigt mir, dass 33% von der Platte erst voll sind!!!

Irgendwie sagt mir mein Gefühl, dass diese Meldung etwas mit meinem Problem zu tun hat - nur wo soll ich hier ansetzen???


Danke und Gruß.

marce
13.08.07, 12:19
poste doch mal die Ausgabe von df -h - evtl. ist ja eine andere Partition voll...

magic_halli
13.08.07, 12:35
# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/md0 21G 4.8G 16G 24% /
udev 1006M 168K 1006M 1% /dev
/dev/md2 51G 9.2G 41G 19% /home
/dev/sdc1 233G 278M 233G 1% /srv
/dev/md3 161G 403M 161G 1% /var/lib

marce
13.08.07, 12:37
ok, das war's nicht.

Sind die Files evtl. zu groß (z.B. 2GB) - manchmal ist die Meldung dann nicht sonderlich "zweckdienlich", da manche Apps. nur eine Fehlermeldung kennen...

magic_halli
13.08.07, 13:10
Die Filegrößen bewegen sich von 300kB bis 1,6MB. Das kanns auch nicht sein, da immer bis 4MB geloggt wurde, dann archiviert und ein neues Logfile begonnen wurde.
Hab grad festgestellt, dass auch /var/log/firewall, /var/log/messages und /var/log/localmessages ebenfalls betroffen sind. Bei den Files wurde einfach mitten in der Logmessage aufgehört zu schreiben! Das ganze passierte alles am 12.8. zwischen 6-8Uhr früh. Allerdings läuft der Server weiterhin ohne Probleme. Also ich denke/hoffe, dass es nichts mit dem System ansich zu tun hat?!
Nur was kann das dann sein...?

drcux
13.08.07, 13:22
Festplattengau, prüfe die Platten lieber mal...

magic_halli
13.08.07, 13:27
FESTPLATTENGAU?!?!?! :eek:

Ich hoffe nicht! Wie gesagt, ich habe sonst keinerlei Anomalien oder Ausfälle etc.!
Wie soll ich das denn prüfen?

marce
13.08.07, 13:33
Smart-Tools, fsck, ...

Ansonsten - wenn sonst irgendwelche Merkwürdigkeiten in den Logfiles auftauchen und es sich um einen Server im offenen Netz handelt könnte man je nach Paranoia-Grad auch mal über chckrootkit und ähnliches nachdenken...

magic_halli
13.08.07, 13:44
Mir ist grad noch eine Idee gekommen:
Kann das evtl. auch was mit einem Backup zu tun haben? Ich habe per Script das /-Verzeichnis sichern lassen (natürlich inkl. /var/log).
Die Sicherung ist jedoch ohne Probleme durchgelaufen (auch nicht zum ersten mal)!

Wenn ich einfach mal #fsck ausführe, dann will er md0, also mein /-Verzeichnis prüfen. Kann ich das ohne weiteres machen, ohne danach Neustart etc. durchzuführen - oder muss ich hier was beachten?

bla!zilla
13.08.07, 13:48
Dumme Frage: Kiste mal durchgestartet, bzw. Syslog Server durchgestartet?

magic_halli
13.08.07, 13:58
Dumme Frage: Kiste mal durchgestartet, bzw. Syslog Server durchgestartet?
Omg, den Syslogserver hab ich gerestartet (rcsyslog restart) und schon klappts wieder! :D
Danke für die Antwort auf meine "dumme Frage" :rolleyes:
...aber sowas hab ich zum ersten mal erlebt und auch nicht gewußt, dass das Syslogging ein eigener Server/Daemon erledigt!!! Naja, wieder was gelernt.

Aber wie kann das passieren, dass dieser plötzlich seinen Dienst quittiert und das auch nur bei einigen Logfiles? Hab vorm restart den status abgefragt und der war 'running'!


Gruß.

bla!zilla
13.08.07, 14:06
Viele Applikationen loggen nicht selber, sondern loggen über Syslog. Fetchmail hingegen kann das Logging auch selber machen. Sowas sollte einem schon zu denken geben und ein Problem in Richtung Syslog vermuten lassen.

Warum Syslog nicht mehr geloggt hat? Keine Ahnung, wahrscheinlich hat er die Arbeit nach dem Hinweis mit der vollen Platte eingestellt. Dann läuft er zwar, macht aber nix mehr. Evtl. puffert er die Anfragen noch intern, und würde gerne auf die Disk flushen, tut es aber nicht.