Назад | Перейти на главную страницу

Как я могу фильтровать / var / adm / wtmpx в Solaris 10?

Некоторые из наших серверов Solaris 10 контролируются с помощью SiteScope, который использует Telnet для проверки определенных портов (SSH - один из них) каждые несколько минут. Это создает безумное количество строк в / var / adm / wtmpx и в конечном итоге делает его настолько большим (2,5G +), что мы больше не можем запускать last команда, или что uptime команда не может точно показать истинное время безотказной работы сервера.

Ошибка, которую мы получаем при попытке запустить last команда такая:

/var/adm/wtmpx: Value too large for defined data type

Я нашел способ очистить этот журнал учета с помощью задания cron (с помощью команды /usr/lib/acct/fwtmp), и это работает. Не в этом проблема. Мне было интересно, есть ли способ просто запретить подключения от контролирующего пользователя (в нашем случае user monsite) от создания записей в этом журнале учета вообще.

Возможно ли это, и если да, то как я могу это сделать?

Я некоторое время оглядывался и искал в Google, но не нашел ответа на этот вопрос.

НОТА: Мы прекрасно понимаем, что используемое нами решение для мониторинга, возможно, не лучшее, но мы не можем его изменить в настоящее время. Поэтому предложение изменить это не имеет отношения к этому вопросу. Если вы хотите узнать больше о решении для мониторинга Sitescope, которое мы используем для этих серверов, ознакомьтесь с его документацией. Вот и найдите Port Monitor и Подключение к удаленным серверам UNIX, в которых объясняется, как это работает.

Не могли бы вы попробовать перенести вывод wtmp в другой журнал, отфильтровав соединения с монсайтами - /usr/bin/egrep -A 5 monsite /var/log/wtmpx > /var/log/something_different а затем создать псевдоним, чтобы он указывал на этот новый журнал? /usr/bin/last -f <cleaner_wtmp_log>

Это утомительный бандаж, хотя он должен поддерживать управляемость с помощью wtmp.

Разрешение пользователю monsite выполнить полный вход, вероятно, не лучшая практика мониторинга. Помимо заполнения wtmpx, эти сотни (тысячи) подключений будут иметь негативное влияние на производительность сервера.

Для целей мониторинга захвата баннера порта telnet или ssh должно быть достаточно, чтобы определить, работает ли служба. Пользователю не нужно выполнять вход в систему, поэтому он не будет отображаться в файле wtmpx.

Вместо того, чтобы создавать потенциальную дыру в безопасности (не отслеживаемые логины пользователей), я бы сосредоточился на улучшении мониторинга.