Tengo la computadora de mi madre con Ubuntu 12.04 LTS. Ha estado funcionando bien, pero todo el syslog repentino se ha estado llenando. Y al llenar me refiero a que acabo de eliminar un /var/log/syslog
tamaño de 400 GB. Sí, gigabytes.
Si bien estoy seguro de que había información útil allí, no estoy seguro de que 400 GB sea algún tipo de información para analizar. Y lo que es realmente sorprendente es que sucedió en un período de 8 horas: corrí df
alrededor del mediodía, y entre entonces y ahora su disco se llenó un 30% (de poco menos del 70% al 100%).
¿Qué podría estar causando esto y cómo podría solucionarlo?
EDITAR Parece que el usb es el delincuente:
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157829] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157836] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157842] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157849] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157857] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157863] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157870] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157877] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157884] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
Sep 8 08:52:10 pamela-desktop kernel: [ 6198.157891] usb 1-3: usbfs: process 1500 (demond_nscan) did not claim interface 3 before use
tail -n20 /var/log/syslog
para ver las últimas 20 líneas.nscan
es una aplicación de escaneo de puertos, por lo que esta podría ser la modificación de alguien (pero solo estoy teorizando). Si esta no es una aplicación que está intentando ejecutar explícitamente, le recomiendo que intente encontrar el ejecutable (algo así comofind / -iname demond_nscan
) y renombrarlo / cambiar sus permisos para que no sea ejecutable. (De esta manera, si es realmente importante para algo, no lo has perdido, y si ha sido lanzado por otra cosa, podrías notarlo. Además,crontab -l
¿ verificas ?Respuestas:
Debe averiguar qué está causando la gran cantidad de mensajes, ya que si soluciona este problema, arregla el archivo de registro grande.
Sin embargo, hasta entonces puede colocar una base de rotación de registros en uno de los siguientes.
Esto ya estará configurado en el sistema de forma predeterminada: /etc/logrotate.d/rsyslog
A partir de esto, puede ver que rotará diariamente el archivo / var / log / syslog y conservará 7 copias del archivo rotado.
Puede cambiar esto para rotar en un límite de tamaño, digamos 1 MB o reducir la cantidad de copias que almacena.
Advertencia: Esto no solucionará la causa raíz de su problema , sin embargo, le dará algo de tiempo ya que impedirá que el sistema de archivos se llene.
fuente
Limite el tamaño de logrotate
Abre el
/etc/logrotate.d/syslog
archivo de configuraciónEl archivo se ve algo. me gusta
Añadir, por ejemplo,
size 100k
entre paréntesis. Luego debería verse así:Tenga en cuenta que esto limita el tamaño del archivo de los archivos rotativos y no el archivo syslog real. Guarda el archivo. La próxima vez que se inicie el trabajo cron de rotación de registros, limitará el tamaño de los registros rotados.
Limite el tamaño del syslog actual
Para limitar el tamaño de
/var/log/syslog
, debe editar/etc/rsyslog.d/50-default.conf
y establecer un tamaño de registro fijo.Agregue o modifique esta configuración, cambiando la siguiente línea en
/etc/rsyslog.d/50-default.conf
:Aquí un extracto del manual de rsyslog :
Aquí el tamaño máximo es de 1 MB, coloque esta línea antes de la
*.*; ...
líneay cambia la
*.*; ...
línea aReiniciar rsyslogd
fuente
Tuve el mismo problema con un Lexmark Pro915 durante dos semanas. Hice dos cosas y ahora funciona bien. Reinstalé el controlador. (No piense que esto fue lo que ayudó.) Saqué la extensión USB que estaba usando, que hizo que la longitud total fuera de casi 15 'de largo y que podría no haber sido totalmente compatible. Sospecho que el controlador Lexmark para sistemas Linux podría estar detectando una señal pobre o mal programada y querer informarle sobre eso 10 mil millones de veces al día. Intenta mejorar tu conexión de alguna manera.
Logrotate y soluciones similares no me ayudaron. ¡Kern.log y syslog juntos registraban más de 1 TB al día! Logrotate podría ayudar si pudiera configurarlo para que se ejecute cada doce minutos.
fuente