Ubuntu
Logcheck

Ubuntu 14.04 logcheckで検出されるエラーを少し見直す。

2015.05.04

logchekは非常に優秀で、おかしな問題が起きている時に気付きを与えてくれる。しかし、同じようなログが繰り返されることによって、重要なログを見落とすことが・・・そんなにじっくり見ていられないから。

広告

過去 Ubuntu 12.04 logcheckで検出されるエラーを少し見直す。 にて見なくてもいいかなー、と思うログを抑制していた。今回、Ubuntu 14.04を運用していて気になっているログを整理する。

一番多くログが出力されるのは、dhcpdからのログ。
leaseファイルが作れないという通知が出続けている。

AppArmorでアクセスが拒否されている可能性・・・があるのかもしれないので、以下を実行してみる。

$ su -
# apt-get install apparmor-utils 
# aa-logprof
Updating AppArmor profiles in /etc/apparmor.d.

何か効果が出たのかよくわからない。

その他、dhcpdから Removed forward map やら Removed reverse map というメッセージも続々と出る。これらは非表示にするなど・・・

$ sudo vi /etc/logcheck/ignore.d.server/original
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: if [._[:alnum:]-]+ IN A rrset doesn't exist and [._[:alnum:]-]+ IN AAAA rrset doesn't exist delete [._[:alnum:]-]+ IN TXT "[[:alnum:]]+": success\.$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: DHCPDISCOVER from [:[:alnum:]]+ (\([._ [:alnum:]-]+\) |)via [._[:alnum:]-]+(: load balance to peer [._[:alnum:]-]+)?$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: DHCPOFFER on [.0-9]{7,15} to [:[:alnum:]]+ (\([._ [:alnum:]-]+\) |)via [._[:alnum:]-]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: DHCPREQUEST for [.0-9]{7,15} (\([.0-9]{7,15}\) |)from [:[:alnum:]]+ (\([._ [:alnum:]-]+\) )?via [._[:alnum:]-]+(: load balance to peer [._[:alnum:]-]+\.?|: lease owned by peer\.?|: wrong network\.?|: lease [.0-9]{7,15} unavailable\.?)?$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: DHCPACK on [.0-9]{7,15} to [:[:alnum:]]+ (\([._ [:alnum:]-]+\) |)via [._[:alnum:]-]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: DHCPNAK on [.0-9]{7,15} to [:[:alnum:]]+ (\([._ [:alnum:]-]+\) |)via [._[:alnum:]-]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: DHCPRELEASE of [.0-9]{7,15} from [:[:alnum:]]+ (\([._ [:alnum:]-]+\) |)via [._[:alnum:]-]+ \((not |)found\)$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd(-2\.2\.x|): BOOTREPLY (for|on) [.0-9]{7,15} to [:_[:alnum:]]+ (\([:._[:alnum:]-]+\) )?via [._[:alnum:]-]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: Can't create new lease file: Permission denied$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: Removed forward map from [._[:alnum:]-]+ to [.0-9]{7,15}+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dhcpd: Removed reverse map on [._[:alnum:]-]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ xl2tpd\[[[:digit:]]{1,5}\]: control_finish: .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ xl2tpd\[[[:digit:]]{1,5}\]: start_pppd: I'm running:$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ xl2tpd\[[[:digit:]]{1,5}\]: \".*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ xl2tpd\[[[:digit:]]{1,5}\]: Call established with .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ xl2tpd\[[[:digit:]]{1,5}\]: result_code_avp: .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ xl2tpd\[[[:digit:]]{1,5}\]: Terminating pppd: .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ xl2tpd\[[[:digit:]]{1,5}\]: result_code_avp: .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ xl2tpd\[[[:digit:]]{1,5}\]: control_finish: .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ xl2tpd\[[[:digit:]]{1,5}\]: Can not find tunnel .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ dbus\[[[:digit:]]{1,5}\]: \[system\] Rejected send message, .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ NetworkManager\[[[:digit:]]{1,5}\]:    SCPlugin-Ifupdown: .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ pppd\[[[:digit:]]{1,5}\]: found interface .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ pppd\[[[:digit:]]{1,5}\]: local  IP address .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ pppd\[[[:digit:]]{1,5}\]: remote IP address .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ pppd\[[[:digit:]]{1,5}\]: Terminating on signal 15$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ avahi-daemon\[[[:digit:]]{1,5}\]: Withdrawing workstation service for .*$

※赤文字は今回追加分

これでしばらく様子を見てみることにする。

なお、構文が正しいか確認するためには・・・

$ grep -E '確認したい条件' syslog

とすると良い。

広告
rohhie

コメントはこちらから お気軽にどうぞ ~ 投稿に関するご意見・感想・他