Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 2124 views
  • Users 0 members are here
Options
Suggested

Problem with Log Disk saturation

atinivelli
Hi, my free installation is doing a soooo good work in my enviroment (web publishing) managing a very high traffic.

The only problem i'm experiencing is the saturation of the /var/log (Log Disk): it seems the scheduled log maint running once per day it is not enough to keep space occupation under danger level.

Is it possible to make it run twice per day? Or... any other possible solution?

The "extrema ratio" is to disable local logging.... but i'd prefer to have some logging active.

Thanks in advance

P.S.: i'm in a virtual environment, it woudl be easy to extend the hard disk on the hypervisor side but then...?
  • 0
    What size is your log disk?  What version of Astaro?  Which logs cause the problem?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    What size is your log disk?  What version of Astaro?  Which logs cause the problem?

    Cheers - Bob


    thank you for your help!

    I'm at 8.201 (free for business), installed from .iso file on a vmware vm.
    The problematic log is the firewall log. The machine is (greatly) handling a 500.000 (or more) page views/day site.
  • 0
    You didn't say the size of your log disk.

    Watch the Live Log.  Are there Firewall rules with logging enabled (green lines)?  You can quit recording those once you know what's happening.

    The other lines in the log represent default drops - that is, these packets appear because there are no firewall rules allowing them to pass.  You can make a packet filter rule that drops these without recording the fact in the logs.  For these rules to work, the traffic destination in the rule must be an interface address object like "External (Address)" instead of a host/network definition.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    You didn't say the size of your log disk.

    Watch the Live Log.  Are there Firewall rules with logging enabled (green lines)?  You can quit recording those once you know what's happening.

    The other lines in the log represent default drops - that is, these packets appear because there are no firewall rules allowing them to pass.  You can make a packet filter rule that drops these without recording the fact in the logs.  For these rules to work, the traffic destination in the rule must be an interface address object like "External (Address)" instead of a host/network definition.


    Log Disk is 11 GB.
    Thank you for your advice: i have unset the "Log Initial Packet" in the two main rules allowing web access from clients to out load balancers. This should reduce logging a lot. I will keep monitoring today and tomorrow [:)]

    If not enough i will make a "log killer" rule as you suggested. Thank you so much!
  • 0
    I wasn't suggesting a "log killer" rule, just some rules that drop traffic from the worst attackers.  For instance, I have a rule to stop recording the Chinese military hackers' attempts to break into our Astaro:

    {221.224.78.0/24, 222.93.240.0/22, 61.139.15.128/26} -> Any -> External (Address) : Drop



    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I wasn't suggesting a "log killer" rule, just some rules that drop traffic from the worst attackers.  


    oh yes, this was the sense i had interpreted the log killin' rule [:)]
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?