rsyslogd-2177: imuxsock begins to drop messages from pid 1209 due to rate-limiting
rsyslogのバージョン5.7.1から、rate-limitingという機能が追加され、5秒間に/var/log/messagesへ200以上のメッセージ
(rsyslogのデフォルト設定)を送信したプロセスID(PID)があれば、rsyslogはメッセージを捨て始め、/var/log/messagesに以下のような
警告をだすらしい?
Feb 5 13:07:52 plugh rsyslogd-2177: imuxsock begins to drop messages from pid 12105 due to rate-limiting
そのため、/var/log/messages等にメッセージを出力するデーモンあるいはプロセスの場合、セキュリティ管理者/システム管理者にとって、
重要/重大なメッセージが紛失してしまっている、特にsnortのerror reportなど
以下の方法で 対策するのだ・・
rsyslog.early.confに (通常は、/etc以下にある)、下記設定を追加
$SystemLogRateLimitInterval 10
$SystemLogRateLimitBurst 500
上記は、rsyslog.confに追加する。
または
$SystemLogRateLimitInterval 0
この設定により、rate-limiting自体が無効になが、プロセスIDが使い道のないメッセージで/var/log/messagesがいっぱいになる可能性がある、
(そういう訳で、rate-limitingがrsyslogにおいてデフォルトで有効になっている