PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Zentraler Syslog: Plötzlich hört er manchen Hosts nicht mehr zu?



Qeldroma
28.02.08, 11:12
Hallo zusammen,

wir haben einen zentralen Syslog-NG in unserem Rechenzentrum eingerichtet und haben ein merkwürdiges Phänomen:

Manche Hosts werden irgendwann einfach ignoriert?

Es werden pro Host Files angelegt, so daß man sofort erkennen kann, wenn dies passiert. Ich habe mir per TCPdump auf dem Syslog-Server diese fehlenden Hosts angesehen und konnte erkennen, daß diese zwar weiter kräftig "feuern", jedoch der syslog diese schlichtweg nicht mehr annimmt und abspeichert, wobei ich die verweigerte Annahme natürlich nicht prüfen kann, da UDP. Somit gibt's auch kein Netz-Problem.

Von 25 Hosts nimmt er zur Zeit 6 nicht an? Welche das sind ist unabhängig von Distribution, OS-Typ und log-server-client-software sowie Datum.

Ein restart des Dienstes löst übrigens das Problem.

Wenn man sich die Statistik ansieht wird dort auch nichts von verworfenen Paketen oder Ähnlichem aufgeführt, auch die Last des Systemes ist kein Thema...

syslog.log:

[2008/02/28 11:02:25 nagios] prio:info fac:syslog prog:syslog-ng msg:syslog-ng[30076]: Log statistics;
processed=\'center(queued)=6075224\', processed=\'center(received)=2486082\',
processed=\'destination(hosts)=2486082\', processed=\'destination(daemons)=2486082\',
processed=\'destination(sysloglog)=12\', processed=\'destination(pfix_mail)=1103048\',
processed=\'source(local)=3672\', processed=\'source(remote)=2482398\',
processed=\'source(sysloglog)=12\'

Was kann denn dazu führen, das sich syslog-ng derart "verschluckt"?

Gruß, Florian

Qeldroma
28.02.08, 11:40
...und wie's immer so ist, sieht man den Wald vor lauter Bäumen nicht:
Logs blieben leer seit 3 Uhr morgens ->
um 3 Uhr wird das cron.daily abgeprüft ->
logrotate macht sich auf den Weg ->
logrotate hat nicht syslog-ng reloaded........

Syslog-ng kommt verständlicherweise nicht wirklich gut damit klar, wenn man ihm die Logfiles "unter dem Arsch weg" zippt und neu anlegt...

Grüße und sorry für den Frühschuß, Florian