journaldの制限でメールログが記録されなかった話
こんにちは。技術部のsです。
先日メールログを調査していたところ、ある時間帯だけ不自然に記録が抜けていて、見たかった時間帯のログが確認できない…といったことがありました。
【状況】
grepコマンド等で確認したい時間帯のログだけ抜き出したりしていたので、どこかのタイミングで誤って削除してしまったかと冷や汗をかきましたが、そうではありませんでした。
メッセージログに下記のような記録が出ていました。
# less /var/log/messages
----------------------------------------
Jan 2 13:04:06 test journal: Suppressed 3534 messages from /system.slice/postfix.service
----------------------------------------
こちら翻訳すると・・・
/system.slice/postfix.serviceからの3534通のメッセージを抑制しました。
つまり、メールログに記録されるはずだったログが、サーバのシステム(journaldサービス)によって、制限されたことにより出力できなかったのです。
これが、ログが消えたように見えた原因でした。
【対処】
制限値は journald.conf に記載されています。下記のパラメータを確認します。
# cat /etc/systemd/journald.conf
----------------------------------------
RateLimitInterval=30s
RateLimitBurst=1000
----------------------------------------
RateLimitInterval で期間を指定し、その期間内で RateLimitBurst で設定した件数を超えたログが出力されると制限がかかります。
デフォルトの数値は journald.conf のマニュアルページにも記載があり、上記に記載されている通り、30秒間に1000メッセージ となっていました。
# man journald.conf
----------------------------------------
RateLimitInterval=, RateLimitBurst=
Configures the rate limiting that is applied to all messages generated on the system. If, in the time interval
defined by RateLimitInterval=, more messages than specified in RateLimitBurst= are logged by a service, all further
messages within the interval are dropped until the interval is over. A message about the number of dropped messages
is generated. This rate limiting is applied per-service, so that two services which log do not interfere with each
other's limits. Defaults to 1000 messages in 30s. The time specification for RateLimitInterval= may be specified in
the following units: "s", "min", "h", "ms", "us". To turn off any kind of rate limiting, set either value to 0.
----------------------------------------
このパラメータの数値を「0」にすることで、ログを取りこぼすことなく記録できますが、あまりにも大量に出力されると、ログファイルが肥大化し、ディスク容量がひっ迫してしまうため、数値を調整の上、ログが大量に出る根本原因を潰しましょう。
journald.conf を編集した後は systemd-journaldサービスの再起動をお忘れなく!
