syslog対策

●syslogの溢れ状態対策

　参考URL：syslogの溢れ対策

syslogに下記のようなログが記録されていました。

journal: Suppressed 950 messages from /system.slice/slapd.service

　OpenLDAPのログが溢れているようです。
　対策として下記を実施しました。
　journald.conf及び/etc/rsyslog.confの設定変更します。

# cp /etc/systemd/journald.conf /etc/systemd/journald.conf.20161121
# vi /etc/systemd/journald.conf
### [Journal]セクションに追加する
[Journal]
RateLimitBurst=0
# cp /etc/rsyslog.conf /etc/rsyslog.conf.20161121
# vi /etc/rsyslog.conf
###末尾に追加
$imjournalRatelimitInterval 0

　journald及びsyslogdを再起動します。

# systemctl restart systemd-journald
# systemctl status systemd-journald
systemctl restart rsyslog.service
ps -ef | grep rsyslog

　最後にテストを実施します。

# for i in `seq 1 1000`; do logger  -p user.debug testlog ${i}; done

　以上で終了です。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

●syslogの特定文字列を含んだログの抑止

　参考URL：rsyslogで特定のログ出力を抑止

　下記ログを抑止します。

Aug 19 22:19:41 serverA org.gnome.Shell.desktop[2381467]: (google-chrome-stable:2383221): IBUS-WARNING **: 22:19:41.452: google-chrome-stable has no capability of surrounding-text feature

Aug 19 22:32:04 serverA org.gnome.Shell.desktop[2381467]: [2383289:2383296:0819/223204.648148:ERROR:ssl_client_socket_impl.cc(981)] handshake failed; returned -1, SSL error code 1, net_error -200

　rsyslog.confを編集します。

# cp -p /etc/rsyslog.conf /etc/rsyslog.conf_20210819
# vi /etc/rsyslog.conf
※「#### RULES ####」行の下に、下記3行を追記
# syslogにgnomeに関するウザいメッセージを出力しないように追加
:msg, contains, "ERROR:ssl_client_socket_impl.cc(981)"  ~
:msg, contains, "IBUS-WARNING"                          ~

文法チェック
# /sbin/rsyslogd -N 2
rsyslogd: version 8.2102.0-3.el8, config validation run (level 2), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

rsyslogを再起動
# systemctl restart rsyslog

　これで該当ログは抑止できるようになりました。