Syslog deaktivieren / einschränken

[nullpunkt]

Hi Forum

System: Debian 5.0
Meine /var/log/syslog wächst pro Stunde gute 70 MB.

Gibt es eine Möglichkeit die Logaktivität einzuschränken oder zu deaktivieren?

Mit freundlichen Grüssen
nullpunkt

[rendegast]

Einfach einen rsyslog-Filter setzen?

Oder mal der Sache nachgehen, wer da einen DoS auf den Syslog veranstaltet.

[Alternativende]

Deinstallieren kannst du es natürlich auch. Zumindest ab Debian 6 mit aptitude remove rsyslog. Aber ich würde auch dringend dem Fehler auf die Spur gehen wollen an deiner Stelle.

[nullpunkt]

Hi

Das Problem ist bekannt, ich bekomme zehntausende Zeilen à la:

Code: Alles auswählen

Feb  3 20:44:53 www01 qmail-queue-handlers[12543]: possibly qmail-smtpd exited by timeout, reset connection. ^I^I^I^ISee "http://pobox.com/~djb/docs/smtplf.html." for get more information.
Feb  3 20:44:53 www01 qmail: 1328298293.983723 warning: trouble injecting bounce message, will try later
Feb  3 20:44:53 www01 qmail-queue-handlers[12544]: Handlers Filter before-queue for qmail started ...

Die gelieferten Workarounds funktionieren leider nicht, deshalb wollte ich zumindest
einmal provisorisch die Logs einschränken.

Mit freundlichen Grüssen
nullpunkt

[kupe]

prinzipiell müßte folgendes in den autostart gepackt zunächst einmal (achtung holzhammermethode) abhilfe verschaffen, bevor du noch endgültig an den systemlogs erstickst:

Code: Alles auswählen

#!/bin/bash
while
   true
do
   echo > /var/log/syslog
   sleep XY   # XY=löschintervall
done

löscht regelmäßig ausschließlich inhalt und eben nicht systemlogdatei. ähnliches müßte man auch beispielsweise über watch -nXY echo > /var/log/syslog hinbekommen.


cachiert in seiner eigenschaft als provisorium letztendlich halt aber nur die symptome und nicht die eigentlichen ursachen der logflut.

[Cae]

Holzhammermethode in narrensicher, so dass es weniger leicht eine Endlosschleife wird:

Code: Alles auswählen

#!/bin/sh
while sleep $interval; do
    foo()
done

$interval steht für die Wartezeit, foo() in dem Fall für's syslog killen. Etwas verwirrend mag sein, dass die ersten $interval Sekunden nix passiert, aber da wird das erste sleep abgewartet, ist also korrekt so.

Gruß Cae

[rendegast]

Die gelieferten Workarounds funktionieren leider nicht,

qmail-queue-handlers[12543]: possibly qmail-smtpd exited by timeout, reset connection. ^I^I^I^ISee "http://pobox.com/~djb/docs/smtplf.html." for get more information.
qmail: 1328298293.983723 warning: trouble injecting bounce message, will try later
qmail-queue-handlers[12544]: Handlers Filter before-queue for qmail started ...

Bsp. /etc/rsyslog.d/20_FCRON_SUDO_no.conf:

Code: Alles auswählen

if $programname == 'fcron' and $msg contains 'pam_unix(fcron:session): session opened for user root by (uid=0)' then ~
if $programname == 'fcron' and $msg contains 'pam_unix(fcron:session): session closed for user root' then ~

Bsp. /etc/rsyslog.d/20_PHP5_NOTICE_no.conf:

Code: Alles auswählen

:msg,contains,"Job [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -delete started for user systab (pid "		~
:msg,contains,"Job [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -delete completed"				~