Q&A
前提・実現したいこと
大量データをloggerでsyslog出力したいのですが、
検証の結果、一部の値が抜け落ちていることが確認できました。
試したこと
logger -p local1.alert -f hoge.log
hoge.logには、100万行以上のデータが記載されています。
こちらを上記のloggerコマンドでsyslog送付したところ、
約2000件程度しか出力されておりませんでした。
原因を調査したところ、性能に問題があると想定しています。
理由は、loggerコマンド実行時にvmstatコマンドでリソースを確認したところ、
csが平常時の数倍(最大で1300程度)であり、
idが0となっている状態があったためです。
確認したいこと
loggerコマンドが性能によって欠損してしまったことを確認する方法はありますでしょうか。
また、loggerコマンド側には制限がない認識ですが、相違ないでしょうか。
※1件あたりのバイト数には制限があるようですが、今回の件とは、関係ない認識です。
OS
CentOS 7.8
回答2件
0
ベストアンサー
https://www.rite.jp/suppressed-messages/
この辺の制限に引っかかっていないですか?
投稿2023/09/08 05:09
総合スコア2043
0
普通はsyslogはUDPで通信するので、トラフィックが多いと欠落は発生します。
TCPとUDPの違いはご存じという前提で続けると、
UDPなのは、ログを送るプログラムにログを送ることによる遅延を出したくないからです。
逆に「ミリ秒単位以上で遅延が出ても良いので欠落を防ぎたい」ということならTCPを選択するのもありでしょう。
(実際にミリ秒単位での遅延はあまりないと思いますが)
rsyslogdはTCPに対応しているのでrsyslog.confの設定でTCPを使うようにして(man rsyslog.conf参照)、
netstat -an | grep -w 514でTCPの514番がLISTENしている事を確認して、
logger --tcp ~~~でTCPで記録できるはずです。
と思ったけど、こんなことやったことなかったので、試しにやってみると駄目ですね。
logger: socket /dev/log: Protocol wrong type for socketと、IPソケットじゃなくてUnixソケットに通信しようとしている。
logger --tcp --server localhost -P 514 ~~~で。
ポート番号指定は/etc/servicesにsyslog 514/TCPという行があれば不要なはずですが、指定しないと、何故かsyslog-conn 601/tcpの行が採用されてしまいます。原因追及せず。
そこそこの時間が掛かると思うので、実行中は一般のUDPによるログが欠落する可能性が高いと思います。
時間が掛かっても良いのであれば、1行ずつ適当な時間間隔を置いて送るのが良いかと思います。
それならUDPのままでもおそらく欠落しない。
そもそも100万行以上のファイルの中味を一気にsyslogに送るという行為自体が異常な気がしますが。
投稿2023/09/07 14:18
総合スコア86285
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。