Syslog qui pèse 1Giga :gne:

[taistoiathos]

Bonjour,

je viens de voir un phénomène assez peu vraissemblable. Je n'ai pas réussi à télécharger un fichier sur Internet parce que soi-disant je n'avais pas assez d'espace disque dur

pour /tmp (chez moi, le disque dur est partitionné avec trois points de montage /, /usr, et /home, et comme je ne pensais pas avoir besoin de beaucoup de place pour la partition

pour / ..., cette partition est de 5 Giga). Du coup j'ai cherché à vider les fichiers sur /tmp, mais ça change rien. Puis j'ai vu l'horreur : finalement c'est le répertoire /var qui pèse

presque 3 G En regardant de près, je me suis rendu compte que le coupable était les deux fichiers syslog et userlog qui pèsaient 1 Giga chacun

En examinant ces logs, j'ai trouvé des lignes comme

Mar 10 10:33:12 onyx PSC_750xi?serial=HU24NDT09VWB: io/hpmud/musb.c 731: invalid
device_status: No such device 
Mar 10 10:33:12 onyx PSC_750xi?serial=HU24NDT09VWB: io/hpmud/musb.c 976: bulk_wr
ite failed buf=0xbfaac31c size=5120 len=-19: No such device 
Mar 10 10:33:12 onyx PSC_750xi?serial=HU24NDT09VWB: io/hpmud/musb.c 1339: unable
to write data hp:/usb/PSC_750xi?serial=HU24NDT09VWB: No such device 
Mar 10 10:33:12 onyx PSC_750xi?serial=HU24NDT09VWB: io/hpmud/musb.c 679: invalid
deviceid wIndex=0, retrying wIndex=0: No such device 
Mar 10 10:33:12 onyx PSC_750xi?serial=HU24NDT09VWB: io/hpmud/musb.c 688: invalid
deviceid retry ret=-19: No such device 
Mar 10 10:33:12 onyx PSC_750xi?serial=HU24NDT09VWB: io/hpmud/musb.c 731: invalid
device_status: No such device

qui n'en finissaient pas. J'ai donc décidé d'éditer ces fichiers-là, j'ai enlevé 100 lignes, j'en étais toujours à 10:33:12. 1000 lignes, 2000 lignes, toujours

pareil. Et je continuais à ajouter des zeros au nombre de lignes à enlever, en m'inquiétant si je ne risquais pas d'en enlever beaucoup trop... Et finalement

j'ai enlevé plus d'un million de lignes avant d'arriver à 10:33:13 !

Je crois savoir que ces messages sont dus au fait qu'il y avait des problèmes au niveau de cartouche et que j'ai tenté d'ouvrir un gestionnaire

d'imprimante, mais, mais; un million de message d'erreur per seconde ? Y'aurait-il besoin de m'en faire des souci

[Quiproquo]

Il n'est pas rare qu'après un certain temps, /var atteigne une taille considérable, car comme son nom l'indique, c'est une arborescence qui a pour vocation d'accueillir les fichiers dynamiques du système.

Pour en revenir au problème qui t'occupe, tes logs ont sans doute été floodés par un programme. Il convient de rechercher lequel en lisant les fichiers, puis de configurer ce programme pour qu'il soit plus concis dans ses rapports. Si ça n'est pas possible, il est toujours possible de configurer le système de log, mais c'est sans doute plus compliqué (man syslog ou man rsyslogd).

[madko]

ya aussi logrotate, un programme qui permet justement de faire une rotation (archivage, recyclage et compression) sur les fichiers de log pour éviter que ceux-ci explosent ton système de fichiers.

[C-dric]

deja , ce que tu peut faire avant de chercher la source c'est de vider les logs

je te mets la manip complete :

user@user:~$ cd /var/log
user@user:/var/log$ ls -lh
total 12M
drwxr-x--- 2 root        adm  4,0K mar 22 09:00 apache2
drwxr-xr-x 2 root        root 4,0K mar 10 14:40 apt
...
-rw-r----- 1 root        adm   35K mar 22 08:39 dmesg
...
-rw-r--r-- 1 root        root  24K mar 17 10:37 faillog
-rw-r--r-- 1 root        root 1,4K oct 22 20:20 fontconfig.log
drwxr-xr-x 2 root        root 4,0K oct 22 19:49 fsck
drwxr-xr-x 2 root        root 4,0K mar 22 08:39 gdm
drwxr-xr-x 3 root        root 4,0K oct 22 20:22 installer
-rw-r----- 1 root        adm  149K mar 23 14:53 kern.log
...
-rw-r----- 1 root        adm  149K mar 23 14:53 messages
...
drwxr-xr-x 2 root        root 4,0K oct 22 20:24 news
-rw-r--r-- 1 root        root  713 fév 10 11:13 pm-suspend.log
-rw-r--r-- 1 root        root    0 oct 22 20:05 pycentral.log
-rw-r----- 1 root        adm   42K mar 23 14:53 syslog
-rw-r----- 1 root        adm  131K mar 23 07:48 syslog.1
-rw-r----- 1 root        adm   27K mar 22 08:59 syslog.2.gz
-rw-r----- 1 root        adm   38K mar 20 08:03 syslog.3.gz
-rw-r----- 1 root        adm   34K mar 19 08:01 syslog.4.gz
-rw-r----- 1 root        adm   38K mar 18 07:57 syslog.5.gz
-rw-r----- 1 root        adm   25K mar 17 08:00 syslog.6.gz
-rw-r----- 1 root        adm   21K mar 16 07:57 syslog.7.gz
drwxr-xr-x 2 root        root 4,0K jun 14  2008 unattended-upgrades
-rw-r----- 1 root        adm     0 mar 22 09:00 user.log
user@user:/var/log$  > syslog

et tu fais sa pour chacun de tes gros fichier , comme sa , il vont recommencer a logger a partir de zero , et tu aura plus de facilité a trouver la source du prb

pense a mettre l'espace entre log$ et >

et je te suggere de monter une autre partition pour mettre ton /var/ comme ça, si il se trouve plein , il te fait pas planté la bête , il se trouve juste a ramer comme un veau , parceque si tu le laisse dans le / il va te remplir tt le disque si tu fait pas gaffe

tien nous au courant quand tu as trouvé la source (as tu un serveur sur ta machine ??)

bonne journée

cedric

PS: tu est un Warrior d'avoir enlever les lignes

[taistoiathos]

Merci beaucoup à tous, mais...

Quiproquo :

le programme qui "flood" le syslog n'est pas configurable (à moins de récrire la source). Quant au manuel de syslog, il suggère de torturer l'utilisateur qui utilise le programme qui floode le syslog, ce qui ne résout pas mon problème...

Madko : actuellement j'ai un système de rotation de 6 semaines (le ficher utilisé

actuellement reste pendant une semaine avant de se faire archiver puis cinq semaine avant de se faire effacer), mais mon problème y resteraquelque soit la cadence de rotation, puisque le syslog a grossi pratiquemment d'1 Giga en quelquesminutes (moins d'une heure en tous cas).

C-dric : vu que le problème rapporté ne se trouvait que dans le gros fichier (même si ça avait

été loggué dans un autre fichier "plus petit" que le syslog, ça n'aurait rien changé, ce fichier aurait

été presque aussi gros), je n'aurais pu plus chercher la cause du problème après la suppression

du fichier. Le problème vient de l'utilitaire de l'imprimante HP (HPLIPS) mais j'ignore pourquoi

il a décidé de flooder le syslog. Et quant aux serveurs, j'ai là-dessus un serveur cups, httpd (apache2) qui ne sert que pour le réseau local, et sshd, au moins (sans doute j'en ai d'autres

que j'ignore).

En tous cas, si je repartitionne la bécane un jour, je penserai à faire une partition dédiée à /var.

[theocrite]

Perso je fait des partitions dédiées à /var/log/

Ça permet de continuer à travailler (envoi de mail, utilisation de bdd, d'un serveur web etc.) même quand les logs prennent toute la place.