Riesiges /var/log/messages file

[demonlord]

Hi,

Ist das normal, das seit dem ich IAM installiert habe, das die messages Datei krankhaft waechst? So 500mb+ taeglich...
Zugemuellt mit sowas:

Dec 29 19:05:23 xxx kernel: IN=eth0 OUT= MAC=00:20:ed:ff:af:2f:00:00:ff:9d:12:8c:08:00 SRC=217.158.111.61 DST=217.111.109.111 LEN=48 TOS=0x00 PREC=0x00
TTL=121 ID=42681 DF PROTO=TCP SPT=1311 DPT=135 WINDOW=8760 RES=0x00 SYN URGP=0

Ich *vermute* das iptables das braucht, fuers dumpfile. ist es *safe*, die messages.? dateien zu loeschen / archivieren? oder braucht iptables die noch?

[pollux]

Hi,

ich kenne IAM nicht. Aber ich würde sagen, daß iptables falsch konfiguriert ist. Es sieht so aus, als ob jedes TCP-Paket in Deiner messages geloggt würde. Und das kann eigentlich nicht richtig sein. Lies nochmal die Doku zu IAM durch, vielleicht gibt es da einen Debug- oder Test-Switch. Der könnte bei Dir irrtümlicherweise auf ON stehen und daher das iptables zu verstärkterm Logging anhalten.

Grüße

Pollux

[olaf.dietsche]

Ich *vermute* das iptables das braucht, fuers dumpfile. ist es *safe*, die messages.? dateien zu loeschen / archivieren? oder braucht iptables die noch?

Schau dir logrotate an. Das ist dafür da, um Logdateien in einem vernünftigen Rahmen zu halten.

[pollux]

@Olaf

Hm, logrotate ist dazu da, die logfiles nicht unnötig groß werden zu lassen. Aber wenn einer täglich 500 MB in sein messages gewurstet bekommt, da muss irgendwas faul sein! :!:
Denk auch daran, daß man seine Logfiles regelmäßig nach auffälligen Einträgen durchsehen soll. Wie soll das bei ca. 6000 Zeichen/Sekunde (!) gehen?

Pollux

[olaf.dietsche]

Das ist natürlich richtig. Ich wollte damit keineswegs sagen, daß man die eigentliche Ursache ignorieren darf.

[m18]

Gugst du hier:

http://www.rootforum.org/forum/viewtopi ... highlight=