Tâche #20494: problème de déconnnexions à 9h10 sur certains amon - Distribution EOLE - Ensemble Ouvert Libre Évolutif

Tâche #20494

Scénario #21122: Tester e2guardian V4

problème de déconnnexions à 9h10 sur certains amon

Ajouté par Christophe Dezé il y a presque 7 ans. Mis à jour il y a plus de 6 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Fabrice Barconnière

Version cible:

sprint 2017 34-36 Equipe MENSR

Début:

11/05/2017

Echéance:

% réalisé:

100%

Temps estimé:

3.00 h

Temps passé:

5.00 h

Restant à faire (heures):

0.0

Description

des tunnels tombaient chez nous vers 9 heures, ....
j'ai fini par trouvé que cette heure correspondait à 6h25 + les 3 heures correspondant à la durée d'une SA IKE ,

donc tous les amons killent leur tunnels à 6:25 (logrotate 6h25) et redemandent tous une reauthentification à 9 heures et quelques minutes ,
et là sphynx n'arrivait pas à servir tous le monde !
donc des coupures de tunnels dans certains etablissements
cf pj
Il y a moyen d’éviter d’arrêter bastion pour le logrotate de E2g, à 6h25 avec la directive copytruncate

Barbechat.in.ac-nantes.fr-Nombre_Tunnels (13).png Voir (20,6 ko) Christophe Dezé, 11/05/2017 15:03

guardian.logrotate.patch Voir - Patch pour EOLE 2.5.1 (730 octets) Fabrice Barconnière, 07/09/2017 09:12

guardian.logrotate.patch Voir - Patch pour EOLE 2.5.2 (815 octets) Fabrice Barconnière, 07/09/2017 09:13

guardian.logrotate.patch Voir - Patch pour EOLE 2.6.1 (824 octets) Fabrice Barconnière, 07/09/2017 09:13

Demandes liées

Révisions associées

Révision 7936ac57 (diff)
Ajouté par Emmanuel GARETTE il y a plus de 6 ans

Gestion correct du logrotate (ref #20494)

Les fichiers de logs sont gérés par rsyslog, le fichier /etc/logrotate.d/e2guardian du paquet n'est pas correct.
Il n'est pas utile de redémarré le firewall avec copytruncate
L'option force-reload arrête et démarre rsyslog, l'option "rotate" est plus légère.

Historique

#1 Mis à jour par Christophe Dezé il y a presque 7 ans

https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey
il y aurait aussi moyen de jouer sur les paramètres margintime ou rekeyfuzz

#2 Mis à jour par Christophe Dezé il y a presque 7 ans

Je n'ai pas perdu de ligne avec ce logrotate

missingok

/var/log/rsyslog/local/e2guardian/*.log {
  rotate 365
  daily
  compress
  delaycompress
  sharedscripts
  ifempty
  size 0
  copytruncate
#  prerotate
#    CreoleService bastion stop >/dev/null
#  endscript

#  postrotate
#    reload rsyslog > /dev/null
#    CreoleRun "service bastion restart" root no yes  >/dev/null
#    CreoleRun "service bastion restart" all no yes  >/dev/null
#  endscript
}

j'ai refait ton test avec un for i in {1..500}; do wget www.toto.fr/"$i"; done en boucle et copytruncate (j'ai pas perdu de ligne )

#3 Mis à jour par Christophe Dezé il y a presque 7 ans

j'ai supprimé les post et prerotate sur 30 2.4 et 10 2.5, et remplacé par copytruncate,

#4 Mis à jour par Joël Cuissinat il y a plus de 6 ans

Tracker changé de Demande à Tâche
Projet changé de Sphynx à eole-proxy
Temps estimé mis à 3.00 h
Tâche parente mis à #21122
Restant à faire (heures) mis à 3.0

#5 Mis à jour par Emmanuel GARETTE il y a plus de 6 ans

Statut changé de Nouveau à En cours
Assigné à mis à Emmanuel GARETTE

#6 Mis à jour par Joël Cuissinat il y a plus de 6 ans

Pour compléter cette demande :

il ~~existe~~ existait :( déjà une proposition de scénario plus générale sur les logrotate : #8540
quel est l'intérêt de redémarrer "bastion" ? eole-proxy:5d403507 => signalement introuvable

fichier proposé dans le paquet e2guardian 4.1.2

root@amon:~# cat /etc/logrotate.d/e2guardian 
/var/log/e2guardian/*.log {
    rotate 5
    daily
    prerotate
        /etc/init.d/e2guardian stop > /dev/null 2>&1 || true
    endscript
    postrotate
        /etc/init.d/e2guardian start > /dev/null 2>&1
    endscript
}