rsyslogd-2177: imuxsock begins to drop messages from pid 1209 due to rate-limiting

rsyslogd-2177: imuxsock begins to drop messages from pid 1209 due to rate-limiting

rsyslogのバージョン5.7.1から、rate-limitingという機能が追加され、5秒間に/var/log/messagesへ200以上のメッセージ

(rsyslogのデフォルト設定)を送信したプロセスID(PID)があれば、rsyslogはメッセージを捨て始め、/var/log/messagesに以下のような

警告をだすらしい？

Feb 5 13:07:52 plugh rsyslogd-2177: imuxsock begins to drop messages from pid 12105 due to rate-limiting

そのため、/var/log/messages等にメッセージを出力するデーモンあるいはプロセスの場合、セキュリティ管理者/システム管理者にとって、

重要/重大なメッセージが紛失してしまっている、特にsnortのerror　reportなど

以下の方法で　対策するのだ・・

rsyslog.early.confに　(通常は、/etc以下にある)、下記設定を追加

$SystemLogRateLimitInterval 10

$SystemLogRateLimitBurst 500

上記は、rsyslog.confに追加する。

または

$SystemLogRateLimitInterval ０

この設定により、rate-limiting自体が無効になが、プロセスIDが使い道のないメッセージで/var/log/messagesがいっぱいになる可能性がある、

(そういう訳で、rate-limitingがrsyslogにおいてデフォルトで有効になっている