Tâche #20494
Scénario #21122: Tester e2guardian V4
problème de déconnnexions à 9h10 sur certains amon
Description
des tunnels tombaient chez nous vers 9 heures, ....
j'ai fini par trouvé que cette heure correspondait à 6h25 + les 3 heures correspondant à la durée d'une SA IKE ,
donc tous les amons killent leur tunnels à 6:25 (logrotate 6h25) et redemandent tous une reauthentification à 9 heures et quelques minutes ,
et là sphynx n'arrivait pas à servir tous le monde !
donc des coupures de tunnels dans certains etablissements
cf pj
Il y a moyen d’éviter d’arrêter bastion pour le logrotate de E2g, à 6h25 avec la directive copytruncate
Demandes liées
Révisions associées
Gestion correct du logrotate (ref #20494)
Les fichiers de logs sont gérés par rsyslog, le fichier /etc/logrotate.d/e2guardian du paquet n'est pas correct.
Il n'est pas utile de redémarré le firewall avec copytruncate
L'option force-reload arrête et démarre rsyslog, l'option "rotate" est plus légère.
Historique
#1 Mis à jour par Christophe Dezé il y a presque 7 ans
https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey
il y aurait aussi moyen de jouer sur les paramètres margintime ou rekeyfuzz
#2 Mis à jour par Christophe Dezé il y a presque 7 ans
Je n'ai pas perdu de ligne avec ce logrotate
missingok
/var/log/rsyslog/local/e2guardian/*.log {
rotate 365
daily
compress
delaycompress
sharedscripts
ifempty
size 0
copytruncate
# prerotate
# CreoleService bastion stop >/dev/null
# endscript
# postrotate
# reload rsyslog > /dev/null
# CreoleRun "service bastion restart" root no yes >/dev/null
# CreoleRun "service bastion restart" all no yes >/dev/null
# endscript
}
j'ai refait ton test avec un for i in {1..500}; do wget www.toto.fr/"$i"; done en boucle et copytruncate (j'ai pas perdu de ligne )
#3 Mis à jour par Christophe Dezé il y a presque 7 ans
j'ai supprimé les post et prerotate sur 30 2.4 et 10 2.5, et remplacé par copytruncate,
#4 Mis à jour par Joël Cuissinat il y a plus de 6 ans
- Tracker changé de Demande à Tâche
- Projet changé de Sphynx à eole-proxy
- Temps estimé mis à 3.00 h
- Tâche parente mis à #21122
- Restant à faire (heures) mis à 3.0
#5 Mis à jour par Emmanuel GARETTE il y a plus de 6 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Emmanuel GARETTE
#6 Mis à jour par Joël Cuissinat il y a plus de 6 ans
- il
existeexistait:(
déjà une proposition de scénario plus générale sur les logrotate : #8540 - quel est l'intérêt de redémarrer "bastion" ? eole-proxy:5d403507 => signalement introuvable
- fichier proposé dans le paquet
e2guardian 4.1.2
root@amon:~# cat /etc/logrotate.d/e2guardian /var/log/e2guardian/*.log { rotate 5 daily prerotate /etc/init.d/e2guardian stop > /dev/null 2>&1 || true endscript postrotate /etc/init.d/e2guardian start > /dev/null 2>&1 endscript }
#7 Mis à jour par Emmanuel GARETTE il y a plus de 6 ans
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 3.0 à 0.25
#8 Mis à jour par Fabrice Barconnière il y a plus de 6 ans
- Projet changé de eole-proxy à Distribution EOLE
- Restant à faire (heures) changé de 0.25 à 3.0
#9 Mis à jour par Fabrice Barconnière il y a plus de 6 ans
- Fichier guardian.logrotate.patch Voir ajouté
- Fichier guardian.logrotate.patch Voir ajouté
- Fichier guardian.logrotate.patch Voir ajouté
- Projet changé de Distribution EOLE à eole-proxy
ERRATA¶
Pour appliquer cette modification sur les versions EOLE inférieures à 2.6.2, il faut applique ce patch :
guardian.logrotate.patch pour EOLE 2.5.1
guardian.logrotate.patch pour EOLE 2.5.2
guardian.logrotate.patch pour EOLE 2.6.1
#10 Mis à jour par Emmanuel GARETTE il y a plus de 6 ans
- Assigné à changé de Emmanuel GARETTE à Fabrice Barconnière
#11 Mis à jour par Fabrice Barconnière il y a plus de 6 ans
- Sujet changé de problème de deconnnections à 9h10 sur certains amon à problème de déconnnexions à 9h10 sur certains amon
#12 Mis à jour par Fabrice Barconnière il y a plus de 6 ans
- Statut changé de En cours à Résolu
- Restant à faire (heures) changé de 3.0 à 0.5
OK, le logrotate de e2guardian ne coupe plus bastion et les VPN.
Les patch pour EOLE 2.5.1, 2.5.2 et 2.6.1 sont proposés en ERRATA.
#13 Mis à jour par Daniel Dehennin il y a plus de 6 ans
- Projet changé de eole-proxy à Distribution EOLE
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0
#14 Mis à jour par Scrum Master il y a plus de 6 ans
- Lié à Scénario #21244: Ne pas redémarrer rsyslogd mais utiliser l'option "rotate" ajouté