rsyslogで処理が詰まらないようにする
auditdのログをrsyslogでリモートホストに転送しようとしたら、ちょっとログが流れるだけでSSHが出来なくなったりとrsyslogが詰まるせいで、auditdも詰まり、プロセスが起動できない状態になりました。 出力プラグインがメッセージを提供できない場合、メッセージはI先行のメッセージキューに保存されます。キューがいっぱいになると、いっぱいでなくなるまで入力がブロックされます。これにより、ブロックされたキューを使用して新しいメッセーがログに記録されることが回避されます。個別のアクションキューが存在しないため、SSH ロギングが阻止され、SSH アクセスが阻止されるなどの重大な問題が発生することがあります。したがって、ネットワークを介して転送される、またはデータベースに転送される出力専用アクションキューを使用することが推奨されます。 auditd自体の設定は何を記録したいかによるので
[rsyslog] rsyslog.confの設定項目 - Life with IT
2008/7/25更新 対応バージョン: 3.18.1 rsyslog.confには多くの設定項目があるが、ここでは主なものを説明する。 その他については公式サイトを参照のこと。 http://www.rsyslog.com/ タイムスタンプフォーマット ログファイルに記録されるタイムスタンプのフォーマットを指定する。 フォーマット指定 $ActionFileDefaultTemplate <フォーマット> <フォーマット> RSYSLOG_TraditionalFileFormat (デフォルト) Mon DD hh:mm:ss 例) Jul 22 20:29:41 host1 kernel: imklog 3.16.1, log source = /proc/kmsg started. Jul 22 20:29:41 host1 rsyslogd: [origin software="
![[rsyslog] rsyslog.confの設定項目 - Life with IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/63c67004f340a9cfebe1346d512a10a786385cbc/height=288;version=1;width=512/https%3A%2F%2Fl-w-i.net%2Fimg%2Flogo_256.png)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
UNIX/rsyslog/ログフォーマットの変更 - yanor.net/wiki
