Rsyslog тормозит при приёме логов извне

To: debian-russian@lists.debian.org
Subject: Rsyslog тормозит при приёме логов извне
From: Igor Dobryninsky <egor@shadow.arh.ru>
Date: Fri, 19 Jun 2009 11:02:12 +0400
Message-id: <[🔎] 20090619110212.2cfff519.egor@shadow.arh.ru>

  Добрый день.

  Раньше я для сбора логов оборудования использовал syslog-ng. Однако,
поскольку в Lenny стандартным syslog-сервисом стал rsyslog, который
тоже умеет много всего, я решил попробовать его. Установил, в конфиг
добавил:

>--- Cut ---
$AllowedSender UDP, 10.9.0.0/16, 10.10.0.0/23, 192.168.20.0/24
$AllowedSender TCP, 10.9.0.0/16, 10.10.0.0/23, 192.168.20.0/24

$ModLoad imudp
$UDPServerRun 514

$ModLoad imtcp
$InputTCPServerRun 514

:FROMHOST, isequal, "192.168.20.198" /var/log/routers/pix.log
& ~
>--- Cut ---

  Логи начали писаться в файлик /var/log/routers/pix.log, однако
сточки в файлик добавлялись весьма неторопливо, примерно одно сообщение
в 5-10 секунд, даже если в логе самого PIX'а они бегут подряд, в одну
секунду.

  Отставание быстро накапливается и через несколько минут составляет
уже минуты, потом десятки минут:

>--- Cut ---
. . .
Jun 18 16:50:20 Jun 18 2009 16:50:12: %PIX-5-304001: 172.20.5.55 Accessed URL 87.248.207.157:/screenshot/33/44/screenshot_multiple/334447/334447_multiple_1_extr
a_large.jpg
Jun 18 16:50:24 Jun 18 2009 16:50:12: %PIX-5-304001: 172.20.2.2 Accessed URL 94.100.179.73:/contact/history?email=cherry_lk%40mail.ru&session=21811535&r=2181153
5_75502851&stream_segment_ack=238
Jun 18 16:50:29 Jun 18 2009 16:50:12: %PIX-5-304001: 172.20.2.2 Accessed URL 94.100.179.73:/connect?session=21811535&r=21811535_7102982&stream_segment_ack=239
Jun 18 16:50:33 Jun 18 2009 16:50:12: %PIX-5-304001: 172.20.2.2 Accessed URL 94.100.179.73:/connect?session=21811535&r=21811535_13586681&stream_segment_ack=240
Jun 18 16:50:38 Jun 18 2009 16:50:14: %PIX-5-304001: 172.20.1.59 Accessed URL 194.67.57.21:/cgi-bin/checknew?55149&folder=0
Jun 18 16:50:47 Jun 18 2009 16:50:16: %PIX-5-304001: 172.20.2.2 Accessed URL 77.88.21.60:/i?id=4843871&tov=5
Jun 18 16:50:51 Jun 18 2009 16:50:16: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.199.12:/DOGS/images/dogs043_small.jpg
Jun 18 16:50:56 Jun 18 2009 16:50:17: %PIX-5-304001: 172.20.2.2 Accessed URL 217.73.200.221:/V13a****yandex_ru/ru/CP1251/tmsec=yandex_images/0
Jun 18 16:51:00 Jun 18 2009 16:50:17: %PIX-2-106001: Inbound TCP connection denied from 222.211.80.111/25511 to 89.207.93.56/24087 flags SYN ACK  on interface o
utside
Jun 18 16:51:05 Jun 18 2009 16:50:17: %PIX-5-304001: 172.20.2.2 Accessed URL 94.100.179.73:/connect?session=21811535&r=21811535_90634076&stream_segment_ack=241
Jun 18 16:51:09 Jun 18 2009 16:50:19: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.199.12:/Traktirschitsa/images/Traktir019.JPG
Jun 18 16:51:14 Jun 18 2009 16:50:19: %PIX-5-304001: 172.20.2.2 Accessed URL 77.88.21.60:/i?id=4843871&tov=6
Jun 18 16:51:18 Jun 18 2009 16:50:19: %PIX-5-304001: 172.20.2.2 Accessed URL 217.73.200.221:/V13a****yandex_ru/ru/CP1251/tmsec=yandex_images/0
Jun 18 16:51:23 Jun 18 2009 16:50:19: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.204.44:/i/slider/gray/arr-top.png
. . .

. . .
Jun 18 17:09:22 Jun 18 2009 16:54:44: %PIX-5-304001: 172.20.1.59 Accessed URL 194.67.57.21:/cgi-bin/checknew?47480&folder=0
Jun 18 17:09:26 Jun 18 2009 16:54:45: %PIX-5-304001: 172.20.5.55 Accessed URL 92.123.244.20:/live/t00/100lo.gif?uid=493e7a775abf20d1&12k1y3b&CXNID=2000001.5215456080540439072NXC
Jun 18 17:09:31 Jun 18 2009 16:54:46: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.204.3:/?clid=40316
Jun 18 17:09:35 Jun 18 2009 16:54:46: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.204.3:/
Jun 18 17:09:40 Jun 18 2009 16:54:47: %PIX-5-304001: 172.20.2.2 Accessed URL 217.73.200.221:/V13a**232555081220592909**yandex_ru/ru/CP1251/tmsec=yandex_main/0
Jun 18 17:09:44 Jun 18 2009 16:54:47: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.204.14:/jclck/dtype=stred/pid=132/cid=1789/path=nextdistrib.homepage.40316/rnd=1245329474137/*http://www.yandex.ru/
Jun 18 17:09:49 Jun 18 2009 16:54:47: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.204.91:/count/02h0h5L_TOa40002ZhQHewC4KPK5cm5fMeYaVZq6agnLvGUAgG3y196yq4ba1fE53OkauDOUGNi5
Jun 18 17:09:53 Jun 18 2009 16:54:47: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.204.91:/count/02h0h4JhZ9840002ZhQHewC4KPK2cm9jL2A8ghiz0PAbk6a6YgAsnmEHlD19P0QJXGsBfsTA5a5y1G00?2801836
Jun 18 17:09:58 Jun 18 2009 16:54:47: %PIX-5-304001: 172.20.2.2 Accessed URL 87.250.251.63:/tsuggest-1.6.html
Jun 18 17:10:00 Jun 18 2009 16:54:47: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.204.11:/opensearch.xml
Jun 18 17:10:05 Jun 18 2009 16:54:48: %PIX-5-304001: 172.20.2.2 Accessed URL 213.180.204.44:/i/favicon.ico
Jun 18 17:10:12 Jun 18 2009 15:55:05: %PIX-5-304001: 172.20.5.55 Accessed URL 91.121.184.28:/do-goto-site.php?site=70&url=http%3A%2F%2Fwww.youporn.com%2F
Jun 18 17:10:14 Jun 18 2009 15:55:05: %PIX-5-304001: 172.20.5.55 Accessed URL 74.86.111.8:/
Jun 18 17:10:21 Jun 18 2009 15:55:06: %PIX-5-304001: 172.20.5.55 Accessed URL 67.228.59.226:/www/delivery/afr.php?zoneid=31&target=_blank&cb=
Jun 18 17:10:26 Jun 18 2009 15:55:06: %PIX-5-304001: 172.20.5.55 Accessed URL 67.228.59.226:/www/delivery/afr.php?zoneid=32&target=_blank&cb=
Jun 18 17:10:28 Jun 18 2009 15:55:06: %PIX-5-304001: 172.20.5.55 Accessed URL 67.228.59.226:/www/delivery/afr.php?zoneid=10&target=_blank&cb=
. . .
>--- Cut ---

   Подробно анализировать было ли пропадание сообщений я не стал, т.к.
вообще работа в таком режиме в моём случае неприемлема.В документации я
покопался и ничего на тему задержек не нашёл. Кто ещё использует
rsyslog в таком качестве, поделитесь, было ли у вас такое?

-- 
  Best Regards, Igor Dobryninsky, Moscow, Russia

Reply to:

Follow-Ups:
- Re: Rsyslog тормозит при приёме логов извне
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>

Prev by Date: Re: debian vps
Next by Date: Приложения в Horde
Previous by thread: Re: debian vps
Next by thread: Re: Rsyslog тормозит при приёме логов извне
Index(es):
- Date
- Thread