Plus d'espace disque

[Ursul042020]

Bonjour à tous,
J'ai un SSD de 128Go. Je viens de m'apercevoir, qu'il ne restait plus que 14Go d'espace libre.
Après quelques recherche avec l'aide du logiciel ncdu, je me suis aperçu que j'avais de très gros fichier log :

Code : Tout sélectionner

xxx@xx :/var/log$ sudo ncdu
----------------------/var/log------------------------
27,2 GiB      [#########]  kern.log.1
27,2 GiB      [#########] ufw.log.1
4,0 GiB        [#              ] /journal
2,4 GiB        [                ] syslog.1
2,3 GiB        [                ] syslog
2,3 GiB        [                ] kern.log
2,3 GiB        [                ] ufw.log
280,8 MiB     [                ] syslog.5.gz
205,0 MiB     [                ] syslog.3.gz
198.0 MiB     [                ] syslog.4.gz
172,6 MiB     [                ] syslog.2.gz
170,8 MiB     [                ] syslog.6.gz
135,1 MiB     [                ] kern.log.2.gz
134,7 MiB     [                ] ufw.log.2.gz
67,1 MiB       [                ] syslog.7.gz
2,3  MiB        [               ] dpkg.log
...

Ce que je vois c'est que les log sur les 2 premiers lignes sont énormes. Les autres je ne sais pas si 4GiB et 2,4GiB sont "classiques ?
Je pense que ça dure depuis un moment car les archives de ces logs sont grosses aussi.
Je n'arrive pas à ouvrir les deux plus gros fichiers.
Que dois-je faire ?
Cordialement

[cyrille]

Déjà si tu n'as pas de config spécifique es tu sûr d'avoir besoin d'ufw ?
Sinon oui ils sont énormes ces logs, pour les limiter

Code : Tout sélectionner

man logrotate

Par exemple si tu veux un remplacement de ton log dès que celui si atteint 300M, tu peux créer ce fichier /etc/logrotate.d/ufw avec ce contenu

Code : Tout sélectionner

/var/log/ufw.log
{
        rotate 4
        size 300M
        missingok
        notifempty
        compress
        delaycompress
        sharedscripts
        postrotate
        invoke-rc.d rsyslog reload >/dev/null 2>&1 || true
        endscript
}

Ensuite si tu ne lis jamais tes logs, tu peux aussi les desactiver (pas forcement conseillé)

En tout pour tes gros logs réinitialise les ... ils repartiront avec une taille de 0

[cyrille]

au fait pour desactiver les logs d'ufw , je pense que c'est cette commande

Code : Tout sélectionner

sudo ufw logging off

Mais honnêtement si tu es derrière une Box d'un FAI, elle contient déjà un parefeu, sauf utilisation et customisation particulière (pas besoin de ce truc...)
(attention je ne tiendrai pas le même discours pour un serveur où dans ce cas cas iptable et fail2ban sont indispensables...)

[Ursul042020]

Bonjour,
J'ai activé ufw car il est généralement conseillé de l'activer.

Ensuite si tu ne lis jamais tes logs,

Non, je ne les lis pas car je ne saurais pas les interpréter, je ne suis pas assez bon pour cela.
Mais j'imagine que s'il sont actif, c'est qu'à un moment ou un autre il sont utile pour quelqu'un (le système, du dépannage,...)

En tout pour tes gros logs réinitialise les ... ils repartiront avec une taille de 0

Est-ce que je peux passer par bleachbit pour les supprimer ?
Est-ce que je les supprimes tous (kern.log.1, ufw.log.1, /journal, syslog.1, syslog, kern.log, ufw.log) et toutes leurs archives antérieures ? Où seulement les 2 ou 3 plus gros (kern.log.1, ufw.log.1, /journal)

En ayant cherché un peu sur ce que j'avais fait sur ma nouvelle installation, je me suis aperçu, que j'avais activé la journalisation "complète" dans Gufw.
Ironie, car je l'avais activé pour voir ce que ça donnait. Et quand je regardais dans l'onglet "journal" disponible dans l'interface Gufw, je n'avais pas vu de différence entre la journalisation "basse" et "complète". Et du coup j'ai oublié de le désactiver.
Mais après coup, je pense que cette option ne correspond pas au "journal" de l'interface Gufw, mais au journal présent dans /var/log
Je ne sais pas si les deux sont liés ?

J'ai quelques questions :
Comment fonctionne ce journal dans /var/log, est-ce qu'il va faire un check à intervalle régulier, où est-ce qu'il écrit seulement quand il se passe quelque chose ?

Par exemple si tu veux un remplacement de ton log dès que celui si atteint 300M, tu peux créer ce fichier /etc/logrotate.d/ufw avec ce contenu

Donc en gros je remplace le paramètre temps "weekly" par un paramètre de taille.
Est-ce judicieu de le faire uniquement pour le logrotate de ufw, ou tous ceux du dossier logrotate.d ?

en te remerciant

[angelique]

Bonjour,

Bleachbit as root fait le taf

Code : Tout sélectionner

Supprimer 1,9MB /var/log/kern.log.1
Supprimer 340kB /var/log/syslog.1
Supprimer 73,7kB /var/log/auth.log.1
Supprimer 438,3kB /var/log/ufw.log.1
Supprimer 4,1kB /var/log/mdm/:0.log.4
Supprimer 4,1kB /var/log/mdm/:0.log.3
Supprimer 4,1kB /var/log/mdm/:0.log.2
Supprimer 4,1kB /var/log/mdm/:0.log.1

[cyrille]

Les logs sont intéressants quand on a un serveur pour parfaire sa sécurisation.
Puis pour analyser le systeme quan il crashe
le logs fonctionnent avec logrotate

Code : Tout sélectionner

man logrotate

cf

Code : Tout sélectionner

# ls /etc/logrotate.d/
alternatives  btmp	       exim4-base      php7.4-fpm	    wtmp
apache2       cups-daemon      exim4-paniclog  ppp
apt	      dbconfig-common  mysql-server    rsyslog
aptitude      dpkg	       nginx	       unattended-upgrades

Tu mets dans ce répertoire sur quels fichiers tu veux effectuer une rotation d'archivage

Code : Tout sélectionner

# cat /etc/logrotate.d/rsyslog 
/var/log/syslog
{
	rotate 7
	daily
	missingok
	notifempty
	delaycompress
	compress
	postrotate
		/usr/lib/rsyslog/rsyslog-rotate
	endscript
}

/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/mail.log
/var/log/daemon.log
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
/var/log/lpr.log
/var/log/cron.log
/var/log/debug
/var/log/messages
{
	rotate 4
	weekly
	missingok
	notifempty
	compress
	delaycompress
	sharedscripts
	postrotate
		/usr/lib/rsyslog/rsyslog-rotate
	endscript
}

Ex pour sylog, tu vois sur quels fichiers , il travaille : mail, lpr, cron, messages, kern,auth...

Si je prends syslog : la rotation s'effectue tous les jours et on garde 7 archives compressées

Mais honnetement es tu sûr d'avoir besoin ufw ?

[cyrille]

Et si tu veux une rotation sur la taille, regarde dans le man l'exemple de /var/log/httpd/error.log

[Mia88]

Bonjour,

Pour maintenir le journal dans des proportions raisonnables, j'utilise la commande

Code : Tout sélectionner

sudo journalctl --vacuum-size=iciChoisirLePoidsMax

Ce qui supprimera les anciennes entrées jusqu'à atteindre la taille demandée.

On peut aussi choisir par temps plutôt que poids, avec exemple d'un mois :

Code : Tout sélectionner

sudo journalctl --vacuum-time=1month

[Ursul042020]

Bonsoir,

Mais honnetement es tu sûr d'avoir besoin ufw ?

On m'a toujours conseillé que ce soit sur wind ou linux d'avoir un parefeu.
Je suis effectivement derrière une box, tout ce qu'il y a de plus classique. Pourquoi remets-tu cela en cause ?
N'est-il pas une bonne chose d'avoir un parefeu ?

Après avoir supprimé ces gros fichiers, j'ai pu faire quelques tests et ouvrir les fichiers log.
Il s'avère que c'est également ufw qui provoquait les écritures dans le fichier kern.log.
J'ai l'impression que les logs étaient dupliqués à la fois sur ufw.log et sur kern.log.
A quoi sert rsyslog ? Car du coup c'est lui qui est à l'originine des écritures dans kern.log

Concernant l'une de mes question précédemment posée : d'une manière générale, comment fonctionne l'écriture dans le journal ? Est-ce que c'est une action qui provoque l'écriture dans le journal, ou inversement, à intervalle régulier, une écriture est faite avec l'état de ce qu'il surveille ?

Pour l'instant, j'ai désactivé le journal d'ufw.

Ensuite si tu ne lis jamais tes logs, tu peux aussi les desactiver (pas forcement conseillé)

Dans l'hypothèse où je laisserai ufw activé, est-ce que vous me déconseilleriez de désactiver les log ?

Cordialement

[zeb]

Sujet clos (2 mois sans réponse).
Déplacement dans "Générale", pour rouvrir si besoin→message privé