/var/log/messages, kern, syslog, mon DD sature !

**lossius30** · 05/06/2014, 18h20

Salut à tous

Je viens vers vous car j'ai de gros problèmes avec mes logs, ils grossissent d'environ 1Mo par minute. j'ai 3 serveurs configurés exactement de la même façon, 2 fonctionnent très bien, par mon 3éme est en train "de devenir fou".

Je n'arrive pas à savoir si il s'agit d'une attaque, d'un bug ou autre, je n'arrive pas du tout à interpréter les logs et mes recherches n'ont rien données vu que je ne sais même pas quoi taper... en gros j'ai vu que le rotate prenait un max de mémoire, je suis donc allé voir les logs en me disant qu'il devait avoir trop de boulot... et la, horreur, mon /var/log/messages fait 6Go (messages.1 8Go), je me suis rendu compte aussi que mon /var/log/kern.log faisait a peu prés la même taille, idem pour mon /var/log/syslog.

Le problème est que je ne comprend pas ce qu'ils contiennent, on dirait qu'il stocke toutes les connexions établies, et ça monte à environ 1Mo / s.

Infos sur les ip contenues dans les logs :
5.79.68.145 l'ip du serveur où se trouvent les logs
95.211.205.14 mon autre serveur qui se connecte souvent au 1er
6401 c'est le port de mon serveur sql

Les serveurs sont sous debian wheezy, à jour.

Voici un tail -n 20 /var/log/messages :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Jun  5 17:13:08 luffy kernel: [1114914.355401] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=86.210.114.151 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=120 ID=233 DF PROTO=TCP SPT=56893 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.361174] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=2387 DF PROTO=TCP SPT=50639 DPT=6401 WINDOW=14600 RES=0x00 SYN URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.361683] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=2388 DF PROTO=TCP SPT=50639 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.362395] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=2389 DF PROTO=TCP SPT=50639 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.362447] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=144 TOS=0x00 PREC=0x00 TTL=59 ID=2390 DF PROTO=TCP SPT=50639 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.362989] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=71 TOS=0x00 PREC=0x00 TTL=59 ID=2391 DF PROTO=TCP SPT=50639 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.364360] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=57 TOS=0x00 PREC=0x00 TTL=59 ID=2392 DF PROTO=TCP SPT=50639 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.364381] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=2393 DF PROTO=TCP SPT=50639 DPT=6401 WINDOW=115 RES=0x00 ACK FIN URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.364899] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=2394 DF PROTO=TCP SPT=50639 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.375623] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=16177 DF PROTO=TCP SPT=50640 DPT=6401 WINDOW=14600 RES=0x00 SYN URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.376223] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=16178 DF PROTO=TCP SPT=50640 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.377024] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=16179 DF PROTO=TCP SPT=50640 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.377075] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=144 TOS=0x00 PREC=0x00 TTL=59 ID=16180 DF PROTO=TCP SPT=50640 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.377634] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=71 TOS=0x00 PREC=0x00 TTL=59 ID=16181 DF PROTO=TCP SPT=50640 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.379049] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=57 TOS=0x00 PREC=0x00 TTL=59 ID=16182 DF PROTO=TCP SPT=50640 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.379070] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=16183 DF PROTO=TCP SPT=50640 DPT=6401 WINDOW=115 RES=0x00 ACK FIN URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.379462] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=78.242.52.66 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=47 ID=21610 DF PROTO=TCP SPT=55937 DPT=80 WINDOW=65535 RES=0x00 ACK URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.379528] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=16184 DF PROTO=TCP SPT=50640 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.387185] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=78.242.52.66 DST=5.79.68.145 LEN=598 TOS=0x00 PREC=0x00 TTL=47 ID=26735 DF PROTO=TCP SPT=55937 DPT=80 WINDOW=65535 RES=0x00 ACK PSH URGP=0
Jun  5 17:13:08 luffy kernel: [1114914.387254] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=78.242.52.66 DST=5.79.68.145 LEN=74 TOS=0x00 PREC=0x00 TTL=47 ID=4693 DF PROTO=TCP SPT=55937 DPT=80 WINDOW=65535 RES=0x00 ACK PSH URGP=0

tail -n 20 /var/log/kern.log :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Jun  5 17:16:43 luffy kernel: [1115129.893132] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=11479 DF PROTO=TCP SPT=59283 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.893811] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=11480 DF PROTO=TCP SPT=59283 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.893857] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=144 TOS=0x00 PREC=0x00 TTL=59 ID=11481 DF PROTO=TCP SPT=59283 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.894139] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=32936 DF PROTO=TCP SPT=59284 DPT=6401 WINDOW=14600 RES=0x00 SYN URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.894360] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=71 TOS=0x00 PREC=0x00 TTL=59 ID=11482 DF PROTO=TCP SPT=59283 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.894625] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=32937 DF PROTO=TCP SPT=59284 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.895396] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=32938 DF PROTO=TCP SPT=59284 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.895436] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=144 TOS=0x00 PREC=0x00 TTL=59 ID=32939 DF PROTO=TCP SPT=59284 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.895707] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=57 TOS=0x00 PREC=0x00 TTL=59 ID=11483 DF PROTO=TCP SPT=59283 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.895726] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=11484 DF PROTO=TCP SPT=59283 DPT=6401 WINDOW=115 RES=0x00 ACK FIN URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.895919] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=71 TOS=0x00 PREC=0x00 TTL=59 ID=32940 DF PROTO=TCP SPT=59284 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.896266] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=11485 DF PROTO=TCP SPT=59283 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.896807] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=92.90.21.14 DST=5.79.68.145 LEN=75 TOS=0x00 PREC=0x00 TTL=56 ID=14845 DF PROTO=TCP SPT=53725 DPT=80 WINDOW=32942 RES=0x00 ACK PSH URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.897087] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=57 TOS=0x00 PREC=0x00 TTL=59 ID=32941 DF PROTO=TCP SPT=59284 DPT=6401 WINDOW=115 RES=0x00 ACK PSH URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.897114] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=32942 DF PROTO=TCP SPT=59284 DPT=6401 WINDOW=115 RES=0x00 ACK FIN URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.897582] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=95.211.205.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=59 ID=32943 DF PROTO=TCP SPT=59284 DPT=6401 WINDOW=115 RES=0x00 ACK URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.908324] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=92.251.26.163 DST=5.79.68.145 LEN=662 TOS=0x00 PREC=0x00 TTL=118 ID=31837 DF PROTO=TCP SPT=51813 DPT=80 WINDOW=254 RES=0x00 ACK PSH URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.911094] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=92.251.26.163 DST=5.79.68.145 LEN=667 TOS=0x00 PREC=0x00 TTL=118 ID=31838 DF PROTO=TCP SPT=51798 DPT=80 WINDOW=252 RES=0x00 ACK PSH URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.928160] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:a8:08:00 SRC=86.210.114.151 DST=5.79.68.145 LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=2382 DF PROTO=TCP SPT=56956 DPT=80 WINDOW=4039 RES=0x00 ACK URGP=0
Jun  5 17:16:43 luffy kernel: [1115129.931222] IN=eth0 OUT= MAC=00:25:64:3b:f1:5c:00:1c:73:3c:df:bc:08:00 SRC=92.90.21.14 DST=5.79.68.145 LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=14846 DF PROTO=TCP SPT=53725 DPT=80 WINDOW=32942 RES=0x00 ACK URGP=0

tail -n 20 /var/log/syslog : donne le même genre de résultats que les 2 logs du dessus

La je dois faire des echo "" > /var/log/messages toutes les heures pour éviter la surcharge...

Quelqu'un à une idée ?

Merci d'avance !

**BufferBob** · 05/06/2014, 22h02

salut,

la première idée qui me vient c'est qu'une ou plusieurs règles iptables log certains paquets, que renvoit la commande (en root) iptables -L -vn | grep LOG ?

au delà et si c'est avéré ce n'est pas nécessairement une mauvaise chose, tu peux très bien gérer la question en configurant de manière adéquate rsyslog de manière à ce que les paquets envoyés par le firewall n'atterissent qu'à un seul endroit, voire même dans un fichier à part, et ensuite configurer logrotate de manière à effectuer une rotation plus fréquente sur le fichier ou en conserver moins etc.

**lossius30** · 05/06/2014, 22h40

Salut !

Ta réponse vient de me mettre la puce à l'oreille... j'ai expérimenté l'installation de PSAD pour bloquer le scan de ports mais je n'ai pas réussi à le configurer correctement, résultat une alerte toutes les secondes et + (mon hébergeur qui doit sûrement envoyer un signal pour savoir si le serveur est ok d'après ce que j'ai vu). J'ai donc laché l'affaire et arrêté PSAD, mais sûrement qu'il a dû créer quelques régles dans iptables et ne pas faire le ménage quand je l'ai désinstallé... je vais voir pour virer iptables qui de toute façon ne me sert à rien vu que je n'ai pas encore terminé mon fichier de firewall, je verrais si ça régle le problème...

En tout cas merci, je reconfirmerais mais si c'est ça, ça m'aura éviter de perdre encore des heures !

**Flodelarab** · 12/06/2014, 16h25

Bonjour,

peut-être peux-tu résumer/factoriser/regrouper les informations redondantes avec des outils comme sed, awk ou uniq -c, et supprimer les lignes devenues inutiles ?

**lossius30** · 12/06/2014, 16h43

Salut et merci pour la réponse,

Je ne connais pas du tout sed, awk et uniq, j'imagine que comme dis dans le début de ton post, sed permet de résumer (grouper les lignes et afficher seulement les différentes ?), awk de refactoriser (??), par contre uniq son nom me parait assez explicite, je pense qu'il permet de supprimer simplement les doublons d'un fichier, je vais essayer et remplacer mon echo "" > /...

Mais en fait ça ne régle pas le problème à sa source, je n'arrive pas à trouver comment défaire ce que psad a fait, simplement enlever le log de toutes les requêtes ?