Rsyslogでログを取りこぼしていませんか?

投稿者: | 2013年10月22日

Rsyslogで下記のようなエラーが、/var/log/以下のファイルに記録されている場合の対処方法。

imuxsock lost 100 messages from pid 10000 due to rate-limiting

rsyslogのデフォルトの設定では、5秒間のうちに200件以上のログメッセージを単一のプロセスから受け取った場合に、ログを記録しないで捨てるという設定になっているようだ。

このようなことから、ログをたくさん出力するサーバーなどでは、トラブルシューティングなどの助けになる重要なログが記録されずに消失してしまうかもしれない。下記の設定をすることでログの切り捨てをする閾値の変更をすることができる。

# vi /etc/rsyslog.conf

設定ファイル中で、imuxsockモジュールを読みだしている行を探す。

$ModLoad imuxsock.so

上記のモジュールを読み込んでいる設定の下に下記のような設定を加える。

$systemLogRateLimitInterval 5
$SystemLogRateLimitBurst 1000

上記の設定の場合には、5秒間の間に、1000件のログを単一のプロセスから受け取った場合に、設定値を超えた部分に関しては記録しないで切り捨てるという動作をするようになる。


コメントを残す

メールアドレスが公開されることはありません。

*