Logrotate: Braucht man das wirklich noch?

Du suchst ein Programm für einen bestimmten Zweck?
Antworten
Benutzeravatar
GregorS
Beiträge: 3144
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Logrotate: Braucht man das wirklich noch?

Beitrag von GregorS » 13.03.2023 01:52:25

Hallo allerseits!

Beim Verfolgen eines Log-Files fiel mir irgendwann auf, dass keine neuen Einträge mehr erschienen, auch wenn ich sie provoziert hatte. Da mir das kurz nach Mitternacht auffiel, war der Schuldige schnell gefunden: Ich hatte das „tail -f ...“ vor dem Weg-Rotieren gestartet.

In diesem Zusammenhang habe ich mich gefragt, ob ich das denn wirklich noch brauche. Plattenplatz ist ja nun wirklich kein Problem mehr und ich lasse mir auch keine Dateien per Mail zuschicken. Brauche ich das denn wirklich? Wegen der paar Kilobytes mache ich mir echt nicht ins Hemd. Im Gegenteil, ich müsste mich in einem Fall wie oben nicht auf Fehlersuche begeben.

Gibt es wirklich gute Gründe, warum man logrotate nicht deinstallieren sollte?

TIA

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

Benutzeravatar
heisenberg
Beiträge: 4123
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von heisenberg » 13.03.2023 05:30:14

Wenn Du das zu Hause auf dem eigenen PC machst, dann ist logrotate vielleicht nicht wirklich so wichtig, auch wenn sich da die Log-Dateien im Laufe der Zeit deutlich vergrößern dürften. Das sind dann nicht KB sondern GB, die das brauchen wird.

Im professionellen Serverbereich, wo Server viel intensiver ausgenutzt werden, ist halt auf einer physischen Maschine nicht nur ein System sondern sehr viele und da summieren sich Logs schon recht deutlich. Wenn man dann noch Backup hat, dann braucht der Speicher auf der Platte auch da noch zusätzlich Netzwerkbandbreite, CPU-Zeit und die Dauer erhöht sich grundsätzlich. Natürlich kann man auf Netzwerkebene wieder andere Techniken einsetzen, z. B. zentrale Logserver. Aber so grundsätzlich bleibt das für mich wichtig.

Benutzeravatar
GregorS
Beiträge: 3144
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von GregorS » 13.03.2023 07:10:10

heisenberg hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 05:30:14
Wenn Du das zu Hause auf dem eigenen PC machst, dann ist logrotate vielleicht nicht wirklich so wichtig, auch wenn sich da die Log-Dateien im Laufe der Zeit deutlich vergrößern dürften. Das sind dann nicht KB sondern GB, die das brauchen wird.
Bist Du Dir sicher, dass Du GB meinst? Wenn ja, über welchen Zeitraum sammelt sich eine derartige Menge an Meldungen?

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

uname
Beiträge: 12406
Registriert: 03.06.2008 09:33:02

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von uname » 13.03.2023 07:33:20

Manchmal verhält sich Software auch komisch, so dass in einer Sekunde Hunderte von Logeinträge generiert werden. Das kann dann irgendwann eine Festplatte auch mal zum überlaufen bringen.

Benutzeravatar
whisper
Beiträge: 3379
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von whisper » 13.03.2023 07:43:47

Also 27 GB hatte ich schon.
https://zockertown.de/s9y/index.php?/ar ... y.log.html
Es ist halt nicht nur die Größe. Als Nebeneffekt kann das System auch leiden
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt. 😉

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von MSfree » 13.03.2023 08:10:55

GregorS hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 07:10:10
Bist Du Dir sicher, dass Du GB meinst?
Bei mir steht der Wert der aufzuhebenden Logs auf 999, also etwas weniger als 3 Jahre bei täglichem komprimierten rotate. Da hat sich bisher rund 1GB angesammelt. Unkomprimiert wären das mindestens 5GB.

Ich habe auch schonmal meine Platte mit Logs vollgeschrieben, als mal eine Software Amok gelaufen ist und Meldungen im zig Gigabytebereich ausgehustet hat. Da hat dann auch logrotate nichts mehr bereinigen können. Grundsätzlich ist es aber gut, nur eine begrenzte Zahl Logs aufzuheben, alte zu löschen und aufzuhebende zu komprimieren.

Wie lang man die History einstellt, hängt vom Anwendungsfall ab. Wenn man wegen Filesharungs verdächtigt wird, hat man mit 999 Logs die Möglichkeit, den vorgeworfenen Zeitpunkt und die dazu gehörende IP-Adresse zu verifizieren oder zu widerlegen, was die Verteidigung ggfls. deutlich erleichtert.

Bei einem NAS im Heimnetz braucht man Logs in der Regel nur, um unmittelbar auftretende Schwierigkeiten zu diagnostizieren. Da reicht eine 5 Tage History aus.

Das Syslog wurde ja inzwischen in den Voreinstellungen vom Journal ersetzt. Das kann man allerdings auch wieder rückgängig machen, zumal das Syslog immer noch parallel zum Journal gefahren wird. Logrotate rotiert aber nicht nur das Syslog sondern auch die Logs von Apache, Samba, Squid, ...., also die Logs, die vom Journal nicht erfaßt werden.

Benutzeravatar
heisenberg
Beiträge: 4123
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von heisenberg » 13.03.2023 09:31:16

Zum Thema GB:

Mein mail.log (postfix) oder other_vhosts_access.log (apache) auf einem server wo einiges los ist, bekommen täglich ca. 50 MB Daten. Ansonsten sind logs gerade von Java-Anwendungen, die sinnlos viel Logging erzeugen auch schon auch mehrere 10-x MB/Tag.

Es geht also sowohl um das begrenzen der Historie, als auch um die Kompression.

Benutzeravatar
Tintom
Moderator
Beiträge: 3069
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von Tintom » 13.03.2023 09:50:54

Ich finde die Frage interessant. Heutzutage laufen die Logs zentral über systemd, das mitgelieferte journalctl kann diese Funktionen auch übernehmen. Ein extra Programm logrotate braucht es demnach nicht. Oder doch?

JTH
Moderator
Beiträge: 3077
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von JTH » 13.03.2023 09:56:47

Tintom hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 09:50:54
Ein extra Programm logrotate braucht es demnach nicht. Oder doch?
Es gibt weiterhin genug Anwendungen, die nicht ins Journal loggen. Zum Beispiel APT, das in /var/log/apt/history.log die Installationen, Aktualisierungen und Deinstallationen von Paketen loggt. Das kommt m.W.n. nicht zusätzlich ins Journal. Für solche Logdateien ist logrotate weiter hilfreich.
Manchmal bekannt als Just (another) Terminal Hacker.

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von MSfree » 13.03.2023 10:00:42

Tintom hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 09:50:54
Heutzutage laufen die Logs zentral über systemd
Siehe meinen Kommentar oben. Nein, es laufen längst nicht alle Logs über das Journal. Nur Serverprozesse, die schon immer ihre Meldungen über das C-Interface "syslog" ausgegeben haben, loggen damit auch automatisch ins Journal. Auch Prozesse, die über ihre Meldungen über stdout und/oder stderr ausgeben, können ins Journal schreiben, wenn sie über eine systemd-Unit gestartet werden.

Programme wie Apache, Squid, Samba, Nginx... haben ihre eigene Dateischnittstelle, in die sie schreiben. Die melden ihr Zeug komplett an Syslog und/oder Journal vorbei in eigene ASCII-Dateien.

Benutzeravatar
heisenberg
Beiträge: 4123
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von heisenberg » 13.03.2023 10:41:03

JTH hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 09:56:47
Tintom hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 09:50:54
Ein extra Programm logrotate braucht es demnach nicht. Oder doch?
Es gibt weiterhin genug Anwendungen, die nicht ins Journal loggen. Zum Beispiel APT, das in /var/log/apt/history.log die Installationen, Aktualisierungen und Deinstallationen von Paketen loggt. Das kommt m.W.n. nicht zusätzlich ins Journal. Für solche Logdateien ist logrotate weiter hilfreich.
Ich würde mal vermuten, dass solche Anwendungen nicht die grosse Menge an Logdaten erzeugen. Das APT-Log-Verzeichnis kommt da vielleicht auf ein bis wenige MB pro Jahr.

Benutzeravatar
schorsch_76
Beiträge: 2601
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Logrotate: Braucht man das wirklich noch?

Beitrag von schorsch_76 » 14.03.2023 10:44:04

Hab ganz altmodisch ein zentralisiertes Logging eingerichtet das die Logmeldungen in eine zentrale Postgres DB schreibt (aber das ist Graubart User Technik). Vorher hatte ich auf den verschiedenen Systemen auf GB weise an Daten. Auch ein "journalctl -xeb -u abcde" hat dann ewig gedauert und war praktisch unbrauchbar. So kann ich über den Ursprungsprozess DSGVO konform bsp. http Nachrichten zügig löschen aber auch zentral alles nachsehen.

Antworten