/var/log/reporting/rrd/pfilter.rrd doesn't change

You can check if the file got corrupted by just running 'rrdtool info' or 'rrdtool dump' on it. If RRD complains about a corrupt file, you can safely delete it; it will be recreated automatically.

Cheers,
 andreas

Thank you Andreas.

rrdtool info says the file is ok, but we have seen that pfilter.accu file have not been updated from 2nd september, any idea?

Thank you very much.

Joan Soler.

Is this the accu file we're talking about, the rrd file, or both? Did you maybe change the system time? If at one point your system time changed back into the past, rrdtool will refuse to write the file again. If both files are not updated, check if the corresponding reporter is running (pfilter-reporter.pl, started by syslog-ng).

Cheers,
 andreas

Both files are not updated. This is the information two says ago:

-rw-r--r-- 1 root root 5990 Sep 30 08:40 admin.accu
-rw-r--r-- 1 root root 1043 Sep 30 08:40 ipsevent.accu
-rw-r--r-- 1 root root 1521 Sep  2 02:50 pfilter.accu

-rw-r--r-- 1 root root 281960 Sep 30 08:40 mem_swap.rrd
 -rw-r--r-- 1 root root 188312 Sep 29 10:27 pfilter.rrd
-rw-r--r-- 1 root root 188312 Sep 30 08:40 vpn.rrd

And:
-rw-r--r-- 1 root root      37888 Sep 30 02:20 mailsec.dbl
-rw-r--r-- 1 root root  136364032 Aug  5 08:31 pfilter.dbl

I'm going to check pfilter-reporter.pl

Thank you very much.

ps -ef |grep repor shows:

 joanker:/root # ps -ef | grep repor
root     15300  2675  0 10:15 ?        00:00:00 /usr/bin/perl 
/usr/local/bin/reporter/websec-reporter.pl
root     15301  2675  0 10:15 ?        00:00:00 /usr/bin/perl 
/usr/local/bin/reporter/mailsec-reporter.pl
root     15302  2675  0 10:15 ?        00:00:00 /usr/bin/perl 
/usr/local/bin/reporter/vpn-reporter.pl
root     15303  2675  0 10:15 ?        00:00:00 /usr/bin/perl 
/usr/local/bin/reporter/ips-reporter.pl
root     15304  2675  3 10:15 ?        00:00:07 /usr/bin/perl 
/usr/local/bin/reporter/pfilter-reporter.pl
root     15305  2675  0 10:15 ?        00:00:00 /usr/bin/perl 
/usr/local/bin/reporter/admin-reporter.pl

Thank you

That is strange. You can enable debug output by creating the /var/log/debug directory, then doing '/etc/init.d/syslogng reload'. Inside this debug directory, the reporters will create log files; watch the  log.pfilter-reporter file for anything related to ACCU and RRD, these should be written every 5 minutes. Please post relevant information here. Make sure to remove the debug directory afterwards again, and to re-run the syslogng reload, debug files can grow fast.

Cheers,
 andreas

Thank you andreas, we will do the debug. Another question, do you know if it is possible to print in one document all rules we have in Packet Filer (we have more than 140 rules).

Thank you very much.
Joan Soler

No, this is not possible. You can use the command line tool iptables-save to dump all the rules into a text file, but there's no way to do this or download the file via the webadmin, so you need to scp it away yourself. 
Cheers,
 andreas

That is strange. You can enable debug output by creating the /var/log/debug directory, then doing '/etc/init.d/syslogng reload'. Inside this debug directory, the reporters will create log files; watch the  log.pfilter-reporter file for anything related to ACCU and RRD, these should be written every 5 minutes. Please post relevant information here. Make sure to remove the debug directory afterwards again, and to re-run the syslogng reload, debug files can grow fast.

Cheers,
 andreas

Hello, we made the debug and we can see:

...
2008:11:04-13:51:33 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:33 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:33 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:33 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:33 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: portscan found
2008:11:04-13:51:33 pfilter-reporter.pl[20082]  main:: pfilter_module: portscan notifications are either disabled or the send limit for this interval has been reached.
2008:11:04-13:51:33 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: portscan found
2008:11:04-13:51:33 pfilter-reporter.pl[20082]  main:: pfilter_module: portscan notifications are either disabled or the send limit for this interval has been reached.
2008:11:04-13:51:34 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:34 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:34 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:34 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:34 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:34 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:34 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:34 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
2008:11:04-13:51:34 pfilter-reporter.pl[20082]  main:: pfilter_module: found match: violation found
...

Is it possible to correct it?
Thank you.

Those lines look absolutely OK. Every violation is a packetfilter violation event which is counted by the reporter. The interesting things happen every 5 minutes, when the data is written to the reporting backend storages; at that time, the reporter will probably log an error that will shed light on why the rrd file can't be updated any more.

Cheers,
 andreas