imuxsock drop messages from pid

Esta semana tocó actualización de IDS's y entre otras muchas cosas, una de las que tocó actualizar fueron las reglas. Por supuesto, el proceso está automatizado con Puppet, lo que garantiza que se haga correctamente y sobre todo, de forma desatendida. El problema viene siempre por el mismo lado. Una vez las reglas son terminadas de cargar y se produce el reload del servicio, en este caso estamos hablando de Snort, éste falló. Este fallo es casi fijo originado por algún parámetro en una regla que no está a funcionar. Aunque las versiones sean las indicadas por el fabricante, es raro que algo no falle en alguna regla. Pues bien, el fallo ya lo comenté y lo podéis ver aquí, Sin embargo, para saber en qué fichero y regla estaba a fallar tuve que revisar los log's. Bien, esto se soluciona rápidamente con un tail y no tendría mayor problema. Sin embargo cuando lo ejecuté me salió éste interesante mensaje,
shell> tail -f /var/log/syslog
Feb 23 12:28:12 S-s snort[28653]:       Ports: 23 
Feb 23 12:28:12 S-s snort[28653]:       Are You There Threshold: 20
Feb 23 12:28:12 S-s snort[28653]:       Normalize: YES
Feb 23 12:28:12 S-s snort[28653]:       Detect Anomalies: YES
Feb 23 12:28:12 S-s snort[28653]:     FTP CONFIG:
Feb 23 12:28:12 S-s snort[28653]:       FTP Server: default
Feb 23 12:28:12 S-s snort[28653]:         Ports (PAF): 21 2100 3535 
Feb 23 12:28:12 S-s rsyslogd-2177: imuxsock begins to drop messages from pid 28653 due to rate-limiting
Por algún motivo, a la gente de rSyslog se le ocurrió poner un límite en el número de líneas que un proceso puede enviar cada cierto tiempo. Esto me parece perfecto, ya que es una forma de proteger el sistema. Si un proceso está enviando muchas cosas a los log's es que algo debe andar raro y no creo que de base nos pongamos a mirar 20k líneas de log's. Sin embargo, en este caso lo que podría ser una facility interesante, fue un proceso molesto. Snort estaba a decir donde fallaba, pero no era era capaz de salir en los log's, pues se cortaba por imuxsock.
Lo que tenía que hacer, era aumentar el límite de líneas que rSyslog dejaba pasar para cada proceso. Para ello, después de una breve lectura del manual, encuentro la solución, agregar las siguientes líneas al fichero de configuración (/etc/rsyslog.conf).
$ModLoad imuxsock # provides support for local system logging
$SystemLogRateLimitInterval 2
$SystemLogRateLimitBurst 1000
Tras el cambio, simplemente reiniciamos el servicio y listo, ya tenemos todo el log como nos interesaba para evaluarlo.

La entrada imuxsock drop messages from pid la puedes leer en Puppet Linux.


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios