【不具合】NICを複数持った環境でSysLogの受信を行った場合に取りこぼしが発生する
作成日:2015年10月5日 | 更新日:2022年3月16日
【ご質問】
EventLog Analyzer9.0(ビルド9000)Linuxバージョンを利用しています。
CentOS環境にてNICを2つ持った状態でSysLogの受信を行っていますが、SysLogの取りこぼしが発生しています。
【回答】
CentOS環境にてNICを複数持った状態でSysLog受信を行った場合、SysLogの取りこぼしが発生する事象が報告されています。
EventLog Analyzerサーバが受信したパケットは一時的にソケットバッファに保持されます。
EventLog Analyzer はソケットバッファに保持されているパケットからSysLog情報を取得していますが、EventLog Analyzerが読み込み対象のSysLog情報を取得する前にソケットバッファの容量がいっぱいになってしまい、SysLog情報が上書きされてしまうことが本事象の原因です。
下記の手順にて、ソケットバッファの容量を拡大し、事象が改善されるかをご確認ください。
【手順】
1. EventLog Analyzer を停止してください。
2. /etc に移動してください。
3. /etc/sysctl.conf をcpコマンドなどでコピー退避してください。
実行コマンド例:
cp sysctl.conf sysctl_org.conf
4. /etc/sysctl.conf を開き、下記の記述を追加してください。
net.core.rmem_default = 8388608
net.core.rmem_max = 8388608
5. EventLog Analyzerサーバを再起動してください。
6. 下記2つのコマンドを実行し、戻り値が8388608になっていることを確認してください。
実行コマンド:
cat /proc/sys/net/core/rmem_default
cat /proc/sys/net/core/rmem_max
7. EventLog Analyzer を起動してください。
※本ナレッジではソケットバッファの容量を8388608バイトに編集していますが、
サーバのデータ通信の状況により、Syslog以外のパケットでソケットバッファの使用状況が異なってきますので、対象サーバのパケットの受信状況によってはさらに大きな値を設定する必要がある可能性もございます。