Hallo,
bei mir wird der Inhalt von /var/log/* normalerweise erst untersucht, wenn irgendwo was in die Hose gegangen ist. Gibts eine Fertiglösung, mit der man die uninteressanten Statusmeldungen anhand irgendwelcher Regeln aus den logfiles rausfiltern kann um sich den Rest täglich zumailen zu lassen?
Reinhard
On Tue, Jan 15, 2002 at 01:13:28AM +0100, Reinhard Foerster wrote:
Gibts eine Fertiglösung, ... ... aus den logfiles rausfiltern kann um sich den ... zumailen zu lassen?
logcheck
Jetzt schreib' ich hier noch einen Satz dazu, damit das Verhältnis Q/A nicht so schlecht ist ;-)
Heiko
Am Dienstag, dem 15. Januar 2002 um 01:13:28, schrieb Reinhard Foerster:
bei mir wird der Inhalt von /var/log/* normalerweise erst untersucht, wenn irgendwo was in die Hose gegangen ist. Gibts eine Fertiglösung, mit der man die uninteressanten Statusmeldungen anhand irgendwelcher Regeln aus den logfiles rausfiltern kann um sich den Rest täglich zumailen zu lassen?
Package: logcheck ... Description: Mails anomalies in the system logfiles to the administrator Logcheck is part of the Abacus Project of security tools. It is a program created to help in the processing of UNIX system logfiles generated by the various Abacus Project tools, system daemons, Wietse Venema's TCP Wrapper and Log Daemon packages, and the Firewall Toolkit© by Trusted Information Systems Inc.(TIS). . Logcheck helps spot problems and security violations in your logfiles automatically and will send the results to you in e-mail. This program is free to use at any site. Please read the disclaimer before you use any of this software.
ungetestet
Torsten
On Tue, Jan 15, 2002 at 01:13:28AM +0100, Reinhard Foerster wrote:
Gibts eine Fertiglösung, ... ... aus den logfiles rausfiltern kann um sich den ... zumailen zu lassen?
logcheck
Jetzt schreib' ich hier noch einen Satz dazu, damit das Verhältnis Q/A nicht so schlecht ist ;-)
Heiko
[zum 2. Mal, denn eben hatte der Amavis auf meinem Server keinen Speicher mehr.]
Hallo,
[zum 2. Mal, denn eben hatte der Amavis auf meinem Server keinen Speicher mehr.]
Da muß ich doch auch mal eben mit rein - da ich hier auch mal ein Problemchen hatte. Der Amavis ist ja ein praktischer Geselle, aber wenn er zum Einsatz kommt, geht der Load gnadenlos in die Höhe. Meine armen Mitarbeiter, wenn sie gerade am Webmailinteface sitzen... Etwas Dummes ist mir da mal untergekommen: Es wurden gerade 10-12 Mails gescannt, der Load hing irgendwo bei 18 und dann kackte (t-offline) mal wieder die DSL-Verbindung ab. Trotz Wiederherstllung der Verbindung, waren alles scanmail-Prozesse 'D'(ead) der Load hing imer noch bei 18 und der sendmail sagte, ich nehm nix mehr an vom Client, weil die Serverlast zu hoch ist - ist ja auch schlau.
Nun konnte ich anstellen was ich wollte - ich bekam die toten Prozesse nicht mehr frei (wie macht man sowas?) und musst rebooten. So wird das nie was mit meinem Uptime-Recordversuch ;-)
Was kann ich in einer solchen Situation machen?
Mit freundlichen Grüßen
Jens Puruckherr
Hallo,
On Tue, Jan 15, 2002 at 08:28:32AM +0100, Jens Puruckherr wrote:
[zum 2. Mal, denn eben hatte der Amavis auf meinem Server keinen Speicher mehr.]
Die Ursache hier war: Ich habe eine andere Platte in dem Rechner (IDE statt SCSI) und in der /etc/fstab vergessen, die Swap-Partition zu ändern. Der Rechner hätte gerne geswappt. Ist also nicht unbedingt Amavis' Schuld.
geht der Load gnadenlos in die Höhe. Meine armen Mitarbeiter, wenn sie gerade am Webmailinteface sitzen...
Ich weiß nicht, wann/wie Du die Mails scannst. Am Anfang hatte ich auch arge Probleme. Mit der Mailingliste. Weil es wurde einmal gescannt, wenn die Mail reinkam, und dann wurde jede rausgehende (etwa 160?) auch nochmal gescannt. Das war dann das Ende. (Amavis/Perl + Exim hier. Jetzt habe ich den Amavis in einem Exim-Filter (global) eingetragen, und das funktioniert besser. Details: PM an mich.)
Etwas Dummes ist mir da mal untergekommen: Es wurden gerade 10-12 Mails
So viele Mails? Du holst ab und zu mal mit fetchmail und dann gehen alle auf einmal an den lokalen Mailserver?
gescannt, der Load hing irgendwo bei 18 und dann kackte (t-offline) mal wieder die DSL-Verbindung ab. Trotz Wiederherstllung der Verbindung, waren alles scanmail-Prozesse 'D'(ead) der Load hing imer noch bei 18 und der
D - disk wait. Er wartet auf den Abschluß eines Lese/Schreibversuchs. Hat m.W. nichts mit dead zu tun. Eher was mit D(river).
sendmail sagte, ich nehm nix mehr an vom Client, weil die Serverlast zu hoch ist - ist ja auch schlau.
Vielleicht kannst Du dem sendmail beibringen, daß er schön eins after dem anderen bearbeiten soll? (Ich glaube, exim kann sowas, erst mal spoolen und dann max. queue runner Prozesse... -- ich denke, etwas in dieser Art kannst Du dem sendmail auch beibringen.)
Nun konnte ich anstellen was ich wollte - ich bekam die toten Prozesse nicht mehr frei (wie macht man sowas?) und musst rebooten. So wird das nie was mit meinem Uptime-Recordversuch ;-)
Was kann ich in einer solchen Situation machen?
while killall amavis; do : ; done
hat bei mir immer geholfen.
Heiko
Hallo,
Am Dienstag, 15. Januar 2002 08:55 schrieb Heiko Schlittermann:
So viele Mails? Du holst ab und zu mal mit fetchmail und dann gehen alle auf einmal an den lokalen Mailserver?
Ja. ich bin nicht always On und da macht das schön brav der Cron. Ist ja nicht ungewöhnlich. Erst fetchmail, dann sendmail. Letzeres stellt dann nicht nur die eben angekommen Mails zu, sondern auch die, die rausgehen sollen. Das kommt dann schon so hin.
Vielleicht kannst Du dem sendmail beibringen, daß er schön eins after dem anderen bearbeiten soll? (Ich glaube, exim kann sowas, erst mal spoolen und dann max. queue runner Prozesse... -- ich denke, etwas in dieser Art kannst Du dem sendmail auch beibringen.)
max queue .... habe ichs chon mal irgendwo gelesen grep queue /etc/sendmail.cf - owei, da kann ich nochmal das Manual studieren..
while killall amavis; do : ; done
hat bei mir immer geholfen.
probier ich das nächste mal aus.
Mit freundlichen Grüßen
Jens Puruckherr
am Tue, dem 15.01.2002, um 8:55:35 +0100 mailte Heiko Schlittermann folgendes:
Ich weiß nicht, wann/wie Du die Mails scannst. Am Anfang hatte ich auch arge Probleme. Mit der Mailingliste. Weil es wurde einmal gescannt, wenn die Mail reinkam, und dann wurde jede rausgehende (etwa 160?) auch nochmal gescannt. Das war dann das Ende. (Amavis/Perl + Exim hier. Jetzt habe ich den Amavis in einem Exim-Filter (global) eingetragen, und das funktioniert besser. Details: PM an mich.)
Meld.
Ist zwar nicht dringend, aber irgendwann will ich sendmüll mal gegen was Richtiges[tm] austauschen...
Das Problem mit den massigen LOAD-Werten habe ich hier auch, ich begrenze fetchmail mit -B auf einen unkritischen Wert (ich glaub 10).
Andreas
On 15.01.02 Reinhard Foerster (rf11@inf.tu-dresden.de) wrote:
Moin,
bei mir wird der Inhalt von /var/log/* normalerweise erst untersucht, wenn irgendwo was in die Hose gegangen ist. Gibts eine Fertiglösung, mit der man die uninteressanten Statusmeldungen anhand irgendwelcher Regeln aus den logfiles rausfiltern kann um sich den Rest täglich zumailen zu lassen?
drachi:[hille] >apt-cache show logcheck Package: logcheck Version: 1.1.1-4 Priority: optional Section: admin Maintainer: Rene Mayrhofer rmayr@vianova.at Depends: libc6 (>= 2.1), debconf Architecture: i386 Filename: dists/stable/main/binary-i386/admin/logcheck_1.1.1-4.deb Size: 26322 MD5sum: 9e5a3c9e845c1bd6af86dea1816e32b2 Description: Mails anomalies in the system logfiles to the administrator Logcheck is part of the Abacus Project of security tools. It is a program created to help in the processing of UNIX system logfiles generated by the various Abacus Project tools, system daemons, Wietse Venema's TCP Wrapper and Log Daemon packages, and the Firewall Toolkit© by Trusted Information Systems Inc.(TIS). . Logcheck helps spot problems and security violations in your logfiles automatically and will send the results to you in e-mail. This program is free to use at any site. Please read the disclaimer before you use any of this software. installed-size: 76 X-Medium: Debian GNU/Linux 2.2-stable (potato), disk 1 [2000-08-19/21:08]
Ist in meiner Installation (server) aber ganz schön geschwätzig.
H.
Hallo,
On Tuesday, 15. January 2002 01:13, Reinhard Foerster wrote:
Gibts eine Fertiglösung, mit der man die uninteressanten Statusmeldungen anhand irgendwelcher Regeln aus den logfiles rausfiltern kann um sich den Rest täglich zumailen zu lassen?
Weil hier alle nur "logcheck" sagen, kontere ich mit "lire". (www.logreport.org) Das ist zwar nicht wirklich on topic (es filtert nicht), sollte aber mit genannt werden. Das kennt verschiedene Eingabe- (Mail, DNS, Web, Firewall, ...) und auch diverse Ausgabeformate (ASCII, HTML, PDF, ...). Man kann dort einen Responder einrichten, an den der Cronjob immer die Logs mailt, und als Reply gibt's dann die Auswertung (z.B. in größeren Netzen ist das praktisch).
Josef Spillner
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Heiko Schlittermann -
Hilmar Preusse -
Jens Puruckherr -
Josef Spillner -
Reinhard Foerster -
Torsten Werner