Log-Files überwachen mit Perl etc ...

Achim Dreyer adreyer at math.uni-paderborn.de
Thu Jul 18 16:22:01 CEST 2002 

On Thu, 18 Jul 2002, Florian Lohoff wrote:

> Nein - gzip erzeugt eine neue datei mit einer neuen inode und unlinked
> die alte - Solange jedoch die alte datei in benutzung/geoeffnet ist
> bleibt sie im filesystem allokiert - Erst wenn der letzte benutzer sie
> schliesst wird auch der platz freigegeben ...

.. ist auch ein sehr beliebter Fehler bei Neulingen.

Problem:	Filesystem voll
Abhilfe:	Loeschen von Logdateien oder /tmp-Dateien

=> hilft nix, Datei zwar laut "ls" weg, aber da die Datei noch vom syslog
(oder einem anderen Programm) offen ist, wird der Platz nicht freigegeben,
also bleibt "Platte voll". Deshalb sollte man dann wenigstens noch ein
"killall -HUP syslogd" machen.
Geöffnete Dateien lassen sich oft durch truncate (cat /dev/null > $file)
leeren, manche Programme sind schlau genug das zu merken, die meisten
leider nicht. Sicherheitshalber kann man durch "lsof +D `dirname $file`"
feststellen welche Programme noch auf Verzeichnis und Dateien in der Nähe
des Opfers arbeiten.

Bsp.:

 # lsof +D /var/log
COMMAND   PID  USER   FD   TYPE DEVICE  SIZE    NODE NAME
syslogd  5727  root    4w   REG   48,7  3616   98313 /var/log/mail
syslogd  5727  root    5w   REG   48,7     0 1409036 /var/log/news/news.crit
syslogd  5727  root    6w   REG   48,7     0 1409037 /var/log/news/news.err
syslogd  5727  root    7w   REG   48,7     0 1409038 /var/log/news/news.notice
syslogd  5727  root    8w   REG   48,7 22562   98324 /var/log/warn
syslogd  5727  root    9w   REG   48,7 22562   98324 /var/log/warn
syslogd  5727  root   10w   REG   48,7 59624   98311 /var/log/messages
syslogd  5727  root   11w   REG   48,7 19318   98325 /var/log/localmessages
syslogd  5727  root   12w   REG   48,7 19318   98325 /var/log/localmessages
syslogd  5727  root   13w   REG   48,7 19318   98325 /var/log/localmessages
syslogd  5727  root   14w   REG   48,7 19318   98325 /var/log/localmessages
syslogd  5727  root   15w   REG   48,7     0   98315 /var/log/firewall





Regards,
Achim Dreyer

---------------------------------------------------------------------------
A. Dreyer, Senior SysAdmin (UNIX & Network) / Internet Security Consultant

More information about the Linux mailing list