Logrotate: Braucht man das wirklich noch?
Logrotate: Braucht man das wirklich noch?
Hallo allerseits!
Beim Verfolgen eines Log-Files fiel mir irgendwann auf, dass keine neuen Einträge mehr erschienen, auch wenn ich sie provoziert hatte. Da mir das kurz nach Mitternacht auffiel, war der Schuldige schnell gefunden: Ich hatte das „tail -f ...“ vor dem Weg-Rotieren gestartet.
In diesem Zusammenhang habe ich mich gefragt, ob ich das denn wirklich noch brauche. Plattenplatz ist ja nun wirklich kein Problem mehr und ich lasse mir auch keine Dateien per Mail zuschicken. Brauche ich das denn wirklich? Wegen der paar Kilobytes mache ich mir echt nicht ins Hemd. Im Gegenteil, ich müsste mich in einem Fall wie oben nicht auf Fehlersuche begeben.
Gibt es wirklich gute Gründe, warum man logrotate nicht deinstallieren sollte?
TIA
Gregor
Beim Verfolgen eines Log-Files fiel mir irgendwann auf, dass keine neuen Einträge mehr erschienen, auch wenn ich sie provoziert hatte. Da mir das kurz nach Mitternacht auffiel, war der Schuldige schnell gefunden: Ich hatte das „tail -f ...“ vor dem Weg-Rotieren gestartet.
In diesem Zusammenhang habe ich mich gefragt, ob ich das denn wirklich noch brauche. Plattenplatz ist ja nun wirklich kein Problem mehr und ich lasse mir auch keine Dateien per Mail zuschicken. Brauche ich das denn wirklich? Wegen der paar Kilobytes mache ich mir echt nicht ins Hemd. Im Gegenteil, ich müsste mich in einem Fall wie oben nicht auf Fehlersuche begeben.
Gibt es wirklich gute Gründe, warum man logrotate nicht deinstallieren sollte?
TIA
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
- heisenberg
- Beiträge: 4123
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Logrotate: Braucht man das wirklich noch?
Wenn Du das zu Hause auf dem eigenen PC machst, dann ist logrotate vielleicht nicht wirklich so wichtig, auch wenn sich da die Log-Dateien im Laufe der Zeit deutlich vergrößern dürften. Das sind dann nicht KB sondern GB, die das brauchen wird.
Im professionellen Serverbereich, wo Server viel intensiver ausgenutzt werden, ist halt auf einer physischen Maschine nicht nur ein System sondern sehr viele und da summieren sich Logs schon recht deutlich. Wenn man dann noch Backup hat, dann braucht der Speicher auf der Platte auch da noch zusätzlich Netzwerkbandbreite, CPU-Zeit und die Dauer erhöht sich grundsätzlich. Natürlich kann man auf Netzwerkebene wieder andere Techniken einsetzen, z. B. zentrale Logserver. Aber so grundsätzlich bleibt das für mich wichtig.
Im professionellen Serverbereich, wo Server viel intensiver ausgenutzt werden, ist halt auf einer physischen Maschine nicht nur ein System sondern sehr viele und da summieren sich Logs schon recht deutlich. Wenn man dann noch Backup hat, dann braucht der Speicher auf der Platte auch da noch zusätzlich Netzwerkbandbreite, CPU-Zeit und die Dauer erhöht sich grundsätzlich. Natürlich kann man auf Netzwerkebene wieder andere Techniken einsetzen, z. B. zentrale Logserver. Aber so grundsätzlich bleibt das für mich wichtig.
Re: Logrotate: Braucht man das wirklich noch?
Bist Du Dir sicher, dass Du GB meinst? Wenn ja, über welchen Zeitraum sammelt sich eine derartige Menge an Meldungen?heisenberg hat geschrieben:13.03.2023 05:30:14Wenn Du das zu Hause auf dem eigenen PC machst, dann ist logrotate vielleicht nicht wirklich so wichtig, auch wenn sich da die Log-Dateien im Laufe der Zeit deutlich vergrößern dürften. Das sind dann nicht KB sondern GB, die das brauchen wird.
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
Re: Logrotate: Braucht man das wirklich noch?
Manchmal verhält sich Software auch komisch, so dass in einer Sekunde Hunderte von Logeinträge generiert werden. Das kann dann irgendwann eine Festplatte auch mal zum überlaufen bringen.
- whisper
- Beiträge: 3379
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Logrotate: Braucht man das wirklich noch?
Also 27 GB hatte ich schon.
https://zockertown.de/s9y/index.php?/ar ... y.log.html
Es ist halt nicht nur die Größe. Als Nebeneffekt kann das System auch leiden
https://zockertown.de/s9y/index.php?/ar ... y.log.html
Es ist halt nicht nur die Größe. Als Nebeneffekt kann das System auch leiden
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt.
Re: Logrotate: Braucht man das wirklich noch?
Bei mir steht der Wert der aufzuhebenden Logs auf 999, also etwas weniger als 3 Jahre bei täglichem komprimierten rotate. Da hat sich bisher rund 1GB angesammelt. Unkomprimiert wären das mindestens 5GB.
Ich habe auch schonmal meine Platte mit Logs vollgeschrieben, als mal eine Software Amok gelaufen ist und Meldungen im zig Gigabytebereich ausgehustet hat. Da hat dann auch logrotate nichts mehr bereinigen können. Grundsätzlich ist es aber gut, nur eine begrenzte Zahl Logs aufzuheben, alte zu löschen und aufzuhebende zu komprimieren.
Wie lang man die History einstellt, hängt vom Anwendungsfall ab. Wenn man wegen Filesharungs verdächtigt wird, hat man mit 999 Logs die Möglichkeit, den vorgeworfenen Zeitpunkt und die dazu gehörende IP-Adresse zu verifizieren oder zu widerlegen, was die Verteidigung ggfls. deutlich erleichtert.
Bei einem NAS im Heimnetz braucht man Logs in der Regel nur, um unmittelbar auftretende Schwierigkeiten zu diagnostizieren. Da reicht eine 5 Tage History aus.
Das Syslog wurde ja inzwischen in den Voreinstellungen vom Journal ersetzt. Das kann man allerdings auch wieder rückgängig machen, zumal das Syslog immer noch parallel zum Journal gefahren wird. Logrotate rotiert aber nicht nur das Syslog sondern auch die Logs von Apache, Samba, Squid, ...., also die Logs, die vom Journal nicht erfaßt werden.
- heisenberg
- Beiträge: 4123
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Logrotate: Braucht man das wirklich noch?
Zum Thema GB:
Mein mail.log (postfix) oder other_vhosts_access.log (apache) auf einem server wo einiges los ist, bekommen täglich ca. 50 MB Daten. Ansonsten sind logs gerade von Java-Anwendungen, die sinnlos viel Logging erzeugen auch schon auch mehrere 10-x MB/Tag.
Es geht also sowohl um das begrenzen der Historie, als auch um die Kompression.
Mein mail.log (postfix) oder other_vhosts_access.log (apache) auf einem server wo einiges los ist, bekommen täglich ca. 50 MB Daten. Ansonsten sind logs gerade von Java-Anwendungen, die sinnlos viel Logging erzeugen auch schon auch mehrere 10-x MB/Tag.
Es geht also sowohl um das begrenzen der Historie, als auch um die Kompression.
Re: Logrotate: Braucht man das wirklich noch?
Ich finde die Frage interessant. Heutzutage laufen die Logs zentral über systemd, das mitgelieferte journalctl kann diese Funktionen auch übernehmen. Ein extra Programm logrotate braucht es demnach nicht. Oder doch?
Re: Logrotate: Braucht man das wirklich noch?
Es gibt weiterhin genug Anwendungen, die nicht ins Journal loggen. Zum Beispiel APT, das in /var/log/apt/history.log die Installationen, Aktualisierungen und Deinstallationen von Paketen loggt. Das kommt m.W.n. nicht zusätzlich ins Journal. Für solche Logdateien ist logrotate weiter hilfreich.Tintom hat geschrieben:13.03.2023 09:50:54Ein extra Programm logrotate braucht es demnach nicht. Oder doch?
Manchmal bekannt als Just (another) Terminal Hacker.
Re: Logrotate: Braucht man das wirklich noch?
Siehe meinen Kommentar oben. Nein, es laufen längst nicht alle Logs über das Journal. Nur Serverprozesse, die schon immer ihre Meldungen über das C-Interface "syslog" ausgegeben haben, loggen damit auch automatisch ins Journal. Auch Prozesse, die über ihre Meldungen über stdout und/oder stderr ausgeben, können ins Journal schreiben, wenn sie über eine systemd-Unit gestartet werden.
Programme wie Apache, Squid, Samba, Nginx... haben ihre eigene Dateischnittstelle, in die sie schreiben. Die melden ihr Zeug komplett an Syslog und/oder Journal vorbei in eigene ASCII-Dateien.
- heisenberg
- Beiträge: 4123
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: Logrotate: Braucht man das wirklich noch?
Ich würde mal vermuten, dass solche Anwendungen nicht die grosse Menge an Logdaten erzeugen. Das APT-Log-Verzeichnis kommt da vielleicht auf ein bis wenige MB pro Jahr.JTH hat geschrieben:13.03.2023 09:56:47Es gibt weiterhin genug Anwendungen, die nicht ins Journal loggen. Zum Beispiel APT, das in /var/log/apt/history.log die Installationen, Aktualisierungen und Deinstallationen von Paketen loggt. Das kommt m.W.n. nicht zusätzlich ins Journal. Für solche Logdateien ist logrotate weiter hilfreich.Tintom hat geschrieben:13.03.2023 09:50:54Ein extra Programm logrotate braucht es demnach nicht. Oder doch?
- schorsch_76
- Beiträge: 2601
- Registriert: 06.11.2007 16:00:42
- Lizenz eigener Beiträge: MIT Lizenz
Re: Logrotate: Braucht man das wirklich noch?
Hab ganz altmodisch ein zentralisiertes Logging eingerichtet das die Logmeldungen in eine zentrale Postgres DB schreibt (aber das ist Graubart User Technik). Vorher hatte ich auf den verschiedenen Systemen auf GB weise an Daten. Auch ein "journalctl -xeb -u abcde" hat dann ewig gedauert und war praktisch unbrauchbar. So kann ich über den Ursprungsprozess DSGVO konform bsp. http Nachrichten zügig löschen aber auch zentral alles nachsehen.