对/var/log/messages文件追加了不可修改扩展属性a,导致logroate对/var/log/messages失效

已于 2023-04-09 10:32:55 修改
阅读量642 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Linux运维 文章标签: linux 服务器 运维
于 2023-04-04 20:13:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangfeiyu2/article/details/129958163
文章描述了一次由于/var/log/messages文件被设置为不可修改(a)属性,导致logrotate无法正常轮换日志的问题。在解决过程中,通过检查logrotate配置和文件属性,发现并修改了syslog配置文件,添加了在轮换前后调整文件属性的命令,从而恢复了日志轮换功能。此外,还提醒关注日志产生的源头,确保其正确性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一次logroate未生效的根因和解决过程

故障现象
  • 监控系统预警某服务器A的存储使用用率超过80%。经查发现Linux的系统日志文件/var/log/messages在某个时间起不再轮换并删除归档文件,形成一个超大文件,占用服务器的大量本地存储。
故障环境
  • centos7.6
# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)
故障根因
  • 某次信息安全测评过程中对/var/log/messages文件追加了不可修改扩展属性a,导致logroate对/var/log/messages失效。
改进措施

修改/etc/logrotate.d/syslog文件,在日志轮换前删除/var/log/messages的a属性,在日志轮换后增加a属性。

  • 修改前的 /etc/logrotate.d/syslog文件内容如下:
# cat /etc/logrotate.d/syslog
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
    missingok
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}
#
  • 修改后的 /etc/logrotate.d/syslog文件内容如下:
# cat /etc/logrotate.d/syslog
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
    compress
    missingok
    sharedscripts
    prerotate
        /bin/chattr -a /var/log/messages 2>/dev/null || true
    endscript
    postrotate
        /bin/chattr +a /var/log/messages 2>/dev/null; /bin/kill -HUP `cat /var/run/syslogd.pid 2>/dev/null` 2>/dev/null || true
    endscript
}
#
故障解决过程
  • 监控系统预警某服务器A的存储使用用率超过80%:
    在这里插入图片描述
  • 登录服务器A,通过du -h --max-depth=1命令层层往下查,查看到/var/log/messages文件非常大,并且从某个日期起不再轮换。
  • 查看logrotate的轮换状态文件,以确定是否执行了具体切割任务。发现/var/log/messages在前一天被轮换了:
# cat /var/lib/logrotate/logrotate.status
logrotate state -- version 2
...(手工删除部分显示)
"/var/log/messages" 2023-3-xx-3:14:1
...(手工删除部分显示)
#
  • 执行/usr/sbin/logrotate -d /etc/logrotate.d/syslog命令,在调试模式看查看logrotate运行情况,发现/var/log/messages竟然未达到轮换的大小,猜测应该是logrotate未读取到/var/log/messages的真实大小。
# /usr/sbin/logrotate -d /etc/logrotate.d/syslog
...(手工删除部分显示)
considering log /var/log/messages
  log does not need rotating (log size is below the 'size' threshold)
...(手工删除部分显示)
  • 查看logrotate轮换模式:在/etc/logrotate.d/syslog文件未指定轮换模式,查看/etc/logrotate.conf设置默认的轮换模式为create,即把当前日志文件改名再新建一个同名的日志文件。因此推测logrotate对 /var/log/messages 无改名权限。
# cat /etc/logrotate.conf
...(手工删除部分显示)
# create new (empty) log files after rotating old ones
create
...(手工删除部分显示)

# ll /var/log/messages
-rw------- 1 root root XXX XXX  4 19:52 /var/log/messages
# lsattr /var/log/messages
-----a---------- /var/log/messages
  • 哪什么时候对/var/log/messages增加了权限扩展属性a呢?根据最后一次轮换日期回溯,发现在某次信息安全测评中的Linux的基线检查发现如下漏洞并完成了整改。
检测方法
    使用命令查看/var/log/messages文件是否只可追加不可修改:
        #lsattr /var/log/messages
判定依据
    /var/log/messages文件的权限第六位为a则合规,否则不合规。
    
加固方案参考配置操作
	1、更改/var/log/messages文件属性
	  #chattr +a /var/log/messages       #如果不存在则忽略
待跟进事项
  • /var/log/messages为什么产生了大量日志?要分析其来源,并判断是否适合写到此文件中。
37、防止非法文件权限设置
vv45678的博客
06-05 286
本文深入探讨了文件权限设置的重要性及其在系统安全中的关键作用,介绍了权限设置的基本原则、方法以及常见错误和风险,并通过实际案例分析和最佳实践,帮助开发者正确理解和应用文件权限管理知识,确保系统的稳定性和安全性。
Linux启动流程原理/定时任务、企业部署/定时任务企业故障案例/定时任务实践
最新发布
2302_78067597的博客
04-28 1074
导致inode满(大量的小文件---来源:邮件系统没有开启的时候,同时定时任务不加&> /dev/null,定时任务的输出,报错,定时任务就会给root发邮件)
SUSE下修改/var/log/messages的权限、用户与组
weixin_33737774的博客
04-12 2571
一开始是用chown / chmod进行修改的,但是一天后就恢复原来 的样子发现是logrotate这个程序每天对日志进行转储的时候会修改掉,查看配置文件/var/log/messages{ compress dateext maxage365 rotate99 missingok notifempty size...
清除/var/log/messages权限问题
KevinChao888的博客
02-09 1642
参考:https://www.lianst.com/3251.html #lsattr messages //查看messages的扩展权限 -----a---------- messages #chattr -a messages //清除a权限 #chattr +a messages //谨慎起见再次把a权限加回去 ...
清理messages提示-bash: /var/log/messages: Operation not permitted的处理
reblue520的专栏
12-28 2290
报警提示系统盘容量不足了/var/log下查看messages日志已经很大了,所以就想着把messages清空一下,以此来释放空间.在删除的时候提示没有权限。 看了下日志,发现是大量的haproxy日志,记得之前是关闭了的,没有写入/var/log/haproxy.log,往messages里面写了 # tail -f /var/log/messages Dec 28 ...
linux:/var/log 日志多,如何处理?rsysloglogrotate
zhuchunyan_aijia的博客
05-05 2284
https://zhuanlan.zhihu.com/p/92804167 rsyslog负责写入日志, logrotate负责备份和删除旧日志, 以及更新日志文件 Linux的日志记录了用户在系统上一切操作,看日志去分析系统的状态是运维人员必须掌握的基本功。 rsyslog日志服务器的优势: 1、日志统一,集中式管理 2、日志实时传送到一个更加安全的远端服务器上,真正记录用户行为,使日...
管理/var/log/messages
ak47csu的专栏
01-19 1126
前段时间,在某日志系统下,用printk造成打印过多,messages文件出现错乱的情况。但是查看CPU以及内存都有空余,不应出现打印错乱的现象。可能是日志系统的BUG,于是开始考虑自己来处理messages文件。经过网上查找,看到有如下方式: 使用FIFO使用logrotate进行转存 我真正想做的是,自己写个日志系统。 未完成待续。。。
运维中的日志切割操作梳理(Logrotate/python/shell脚本实现)
weixin_44127209的博客
12-30 916
对于Linux系统安全来说,日志文件是极其重要的工具。不知为何,我发现很多运维同学的服务器上都运行着一些诸如每天切分Nginx日志之类的CRON脚本,大家似乎遗忘了Logrotate,争相发明自己的轮子,这真是让人沮丧啊!就好比明明身边躺着现成的性感美女,大家却忙着自娱自乐,罪过!logrotate程序是一个日志文件管理工具。用于分割日志文件,删除旧的日志文件,并创建新的日志文件,起到“转储”作用...
linux系统下日志切割
weixin_44767040的博客
04-10 6521
对于Linux系统安全来说,日志文件是极其重要的工具。不知为何,我发现很多运维同学的服务器上都运行着一些诸如每天切分Nginx日志之类的CRON脚本,大家似乎遗忘了Logrotate,争相发明自己的轮子,这真是让人沮丧啊!就好比明明身边躺着现成的性感美女,大家却忙着自娱自乐,罪过!logrotate程序是一个日志文件管理工具。用于分割日志文件,删除旧的日志文件,并创建新的日志文件,起到“转储”作用。可以节省磁盘空间。下面就对logrotate日志轮转操作做一梳理记录: 1. 配置文件介绍 Linux系统.
crontab logroate
07-28
关于crontab logrotate的问题,logrotate是一个用于管理日志文件的工具,它可以定期对日志文件进行轮转、压缩和删除等操作。如果想要在crontab中设置logrotate任务,可以编辑crontab文件,添加相应的命令来执行...
源码zlog+cronolog+crontab+logroate
12-28
zlog+cronolog+crontab+logrotate源码 如何交叉编译至下位机可参考我的文章: https://blog.youkuaiyun.com/u010505080/article/details/84819042
分析 linux /var/log/messages,2009-11-30 15:30 Linux系统日志/var/log/messages (转)
weixin_39816946的博客
05-13 766
日志文件其实是纯文本的文件,每一行就是一个消息。只要是在Linux下能够处理纯文本的工具都能用来查看日志文件。日志文件总是很大的,因为从你第一次启动Linux开始,消息就都累积在日志文件中。看日志文件的一个比较好的方法是用像More或Less那样的分页显示程序,或者用Grep查找特定的消息。我们先用Less显示“/var/log/messages”,可以看到从日志文件中取出来的一些消息。每一行表示...
linux系统日志messages过大原因分析
分享DotNet技术和日常开发笔记,DotNet,Python为主。
06-28 3953
原因是部署了NetCore程序,程序输出了很多Console.WriteLine 的日志,这些日志被持续写入到messages里面了。发现/var/log/messages的日志文件过大 有10几个G。1、去除C#程序里面的Console.WriteLine的代码。2、定时清理日志文件messages。3、手工清理日志文件messages。可放在定时任务里面自动清理。
lsattr/chattr —— 查看/修改文件隐藏属性的命令
chouzhi7161的博客
07-20 1282
命令lsattr 名称: list attributes 用途: 显示文件Linux第二扩展文件系统上的特有属性 语法: ]# lsattr [选项] [文件...] 选项: -R 递归地列出目录以及其下内容的属性. -a 列出目录中的所有文件,包括以`....
linux重建log目录,linux – 如何移动/ var / log目录
weixin_42411799的博客
05-13 172
正确的设计我假设您无法简单地扩展有问题的文件系统(使用lvextend&& ext2online),因为您不使用LVM或使用错误的文件系统类型.你的方法如果您使用SIGHUP(kill -1 pid)向守护进程发出信号,那么您提出的建议可能会奏效.显然你需要稍后“mount -o bind / / somewhere”并清理挂载/ var / log下面的内容.但它对我来说有难闻的...
BUG:使用/var/log/messages初步定位软件莫名退出问题
youzai2017的博客
07-13 748
Linux上运行的客户端软件,莫名退出,日志中没有异常和报错;确定异常退出时间点,在/var/log/messages系统日志中查找退出原因定位异常问题。
inux /var/log/日志文件太大的清理方式
03-09 3753
du -sh * 查日志文件,发现message日志比较大或者直接在相应目录下执行执行清理rm:是否删除普通文件 "messages"?yrm:是否删除普通文件 "messages-20240211"?yrm:是否删除普通文件 "messages-20240218"?y执行清理不提示。
Linux chattr命令
叶琼州的代码小窝
01-22 225
chattr 命令用于改变文件属性。
Linux下/ar/log目錄下日誌文件功能
weixin_34241036的博客
03-06 531
如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。 以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到。 /var/log/messages —...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值