1. Help Center
  2. Correo Electrónico
  3. Zimbra

Perdiendo logs en zimbra.log

Daniel Eugenin M. -

Plataforma: RedHat/CentOS 7

Le ha pasado que hay logs de correos enviados/recibidos que "desaparecen" y simplemente no están en el /var/log/zimbra.log?

Bueno, la solución que aparece en todos lados es que por defecto el Rsyslog tiene un RateLimit que "filtra" mensajes cuando hay mucho log. Para esto sólo basta agregar las siguientes líneas al /etc/rsyslog.conf:

````
$SystemLogRateLimitInterval 0
$SystemLogRateLimitBurst 0
````

Y luego reiniciar: systemctl restart rsyslog


Pues bien, aún con esto nos hemos percatado que se siguen perdiendo logs en el /var/log/zimbra.log, y esto se debe a la acción de **Journal**. Y paso a explicar brevemente:

- En CentOS 7 se introdujo el **SystemD** como reemplazo a SysVinit. SystemD es un conjunto de demonios, procesos, librerías y herramientas que se crearon como una plataforma de administración y configuración central para interactuar con el kernel del sistema operativo.

- Dentro de SystemD existe un componente que se llama **Journal**, el cual es el responsable de la visualización y la administración de los archivos de logs, el cual se usa en paralelo (o puede ser en reemplazo) con el tradicional demonio de logs (como es el rsyslog en este caso).

- Si bien, cuando se agregaron las líneas de configuración al /etc/rsyslog.conf, aún se siguen perdiendo logs, debemos chequear que el Journald no esté suprimiendo logs también:

````
journalctl -u systemd-journald
````

Y vemos que hay muchos logs como el que sigue:

````
Jan 05 15:37:26 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 5607 messages from /user.slice/user-1002.slice
Jan 05 15:37:56 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 5112 messages from /user.slice/user-1002.slice
Jan 05 15:38:26 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 6405 messages from /user.slice/user-1002.slice
Jan 05 15:38:56 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 6217 messages from /user.slice/user-1002.slice
Jan 05 15:39:26 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 5470 messages from /user.slice/user-1002.slice
Jan 05 15:39:56 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 5815 messages from /user.slice/user-1002.slice
Jan 05 15:40:26 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 7814 messages from /user.slice/user-1002.slice
Jan 05 15:40:56 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 6245 messages from /user.slice/user-1002.slice
Jan 05 15:41:26 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 8503 messages from /user.slice/user-1002.slice
Jan 05 15:41:56 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 6222 messages from /user.slice/user-1002.slice
Jan 05 15:42:26 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 4710 messages from /user.slice/user-1002.slice
Jan 05 15:42:56 zm-proxy-01.pjud.cl systemd-journal[540]: Suppressed 8339 messages from /user.slice/user-1002.slice
````

- Esto nos está mostrando que hay logs que están siendo suprimidos, por lo cual debemos corregir esto.

- Ahora, que ya conocemos el caso, la solución también es sencilla, y basta con agregar las siguientes líneas al archivo /etc/systemd/journald.conf:

````
RateLimitInterval=0
RateLimitBurst=0
````

Y luego reiniciar el servicio:

````
systemctl restart systemd-journald
````


*Refs:*
- https://es.wikipedia.org/wiki/Systemd
- https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-using_the_journal
- https://nickcanzoneri.com/centos/logging/journald/rsyslog/2017/08/18/losing-log-messages.html

0 Comentarios

Inicie sesión para dejar un comentario.
Tecnología de Zendesk