Система FreeBSD 8.2
Как найти измененные файлы за последний час в разделе /var рекурсивно и отсортировать по размеру от большего к меньшему?
> Система FreeBSD 8.2
> Как найти измененные файлы за последний час в разделе /var рекурсивно и
> отсортировать по размеру от большего к меньшему?Ыхе-хе ... Это ьебе Андрея нашего Митрофанова звать надо ...
Стоп! Фряха. Не пойдёт он, он - из идейных ...Ыхе-хе, ну тады так:
find /var -ctime 1h | xargs ls -dl | sort -nk5Так как 8-ок у меня не осталось, гонял на 10-ке.
>> Система FreeBSD 8.2
>> Как найти измененные файлы за последний час в разделе /var рекурсивно и
>> отсортировать по размеру от большего к меньшему?
> Ыхе-хе ... Это ьебе Андрея нашего Митрофанова звать надо ...
> Стоп! Фряха. Не пойдёт он, он - из идейных ...
> Ыхе-хе, ну тады так:
> find /var -ctime 1h | xargs ls -dl | sort -nk5
> Так как 8-ок у меня не осталось, гонял на 10-ке.Да, то что надо, на 8ке с -f
find -f /var -ctime 1h | xargs ls -dl | sort -nk5 | more
Спасибо
> СпасибоNP.
>> Система FreeBSD 8.2
>> Как найти измененные файлы за последний час
> Ыхе-хе ... Это ьебе Андрея нашего Митрофанова звать надо ...
> Стоп! Фряха. Не пойдёт он, он - из идейных ...Во-первых, не надо звать, он сам придёт. Во-вторых, не поминай в суе. В-третьих, да, он идейный, и считает, что карапузики от FreeBSD и вопрос-то https://www.freebsd.org/doc/ru/books/faq/disks.html#idp73065040 толком задать не могут. Причём этот вопрос -- _каждый _раз, и каждый из них, и именно на FreeBSD. (Упражнение для читателя: перечитать этот форум, скоррелировать длинну треда с тэгом FreeBSD. То же - многократно безуспешные попытки сформулировать вопрос с. То же - полную неспособность прочитать хотя бы один ответ с. И так: ответ в хэндбуке с.)
> Так как 8-ок у меня не осталось, гонял на 10-ке.
>длиннуИ пусть меня покарает.
>>длинну
> И пусть меня покарает.Всё! Вся твоя пламенная речь - не засчитывается! :)
> из них, и именно на FreeBSD. (Упражнение для читателя: перечитать этот форум,Форум, не форум, а этот тред
> скоррелировать длинну треда с тэгом FreeBSD.
> многократно безуспешные попытки сформулировать вопрос
> полную неспособность прочитать
> ответ в хэндбукепосоответствовал всем ожиданиям. Можно-закрывать-ТМ.
___"Сами мы не местные! Помогите, люди добрые, найти файл, а то логи так переполняются, что natd починить некому."
>>гонял на 10-ке.
> Система FreeBSD 8.2
> Как найти измененные файлы за последний час в разделе /var рекурсивно и
> отсортировать по размеру от большего к меньшему?забивается var?
начни с этого ))
du -d1 -h /var
>> Система FreeBSD 8.2
>> Как найти измененные файлы за последний час в разделе /var рекурсивно и
>> отсортировать по размеру от большего к меньшему?
> забивается var?
> начни с этого ))
> du -d1 -h /varДа, есть такая проблема.
самое интересное#df -h
...
/dev/ad0s1d 12G 1.4G 9.3G 13% /varпишет занято 1.4 Гб, а если сделать
#du -d1 -h /var
2,0K /var/.snap
2,0K /var/account
6,0K /var/at
2,0K /var/audit
18K /var/backups
4,0K /var/crash
14K /var/cron
578M /var/db
2,0K /var/empty
2,0K /var/heimdal
5,7M /var/log
2,0K /var/mail
4,0K /var/msgs
72K /var/named
2,0K /var/preserve
74K /var/run
2,0K /var/rwho
2,0M /var/tmp
24K /var/yp
2,0K /var/games
586M /varПолучается занято чуть больше 1 Гб.
Вопрос - откуда еще 400 мб?
>[оверквотинг удален]
> 4,0K /var/msgs
> 72K /var/named
> 2,0K /var/preserve
> 74K /var/run
> 2,0K /var/rwho
> 2,0M /var/tmp
> 24K /var/yp
> 2,0K /var/games
> 586M /var
> Получается занято чуть больше 1 Гб.точно?
что удаляли из /var ?> Вопрос - откуда еще 400 мб?
> точно?
> что удаляли из /var ?По этому поводу господин Mitrofanov наставил на путь истинный. Сервер пока не перегружал, не было возможности, после перезагрузки вывод команд df и du будет одинаковым. Но меня больше волнует как найти службу которая забивает /var
Меньше чем за сутки раздел /var заполнился на 100 мб.#du -d1 -h /var
2,0K /var/.snap
2,0K /var/account
6,0K /var/at
2,0K /var/audit
18K /var/backups
4,0K /var/crash
14K /var/cron
578M /var/db
2,0K /var/empty
2,0K /var/heimdal
5,7M /var/log
2,0K /var/mail
4,0K /var/msgs
72K /var/named
2,0K /var/preserve
74K /var/run
2,0K /var/rwho
2,0M /var/tmp
24K /var/yp
2,0K /var/games
586M /var#df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 989M 593M 318M 65% /
devfs 1.0K 1.0K 0B 100% /dev
/dev/ad0s1e 989M 85M 825M 9% /tmp
/dev/ad0s1f 60G 16G 39G 29% /usr
/dev/ad0s1d 12G 1.5G 9.2G 14% /var
>[оверквотинг удален]
>> du -d1 -h /var
> Да, есть такая проблема.
> самое интересное
> #df -h
> ...
> /dev/ad0s1d 12G 1.4G
> 9.3G 13% /var
> пишет занято 1.4 Гб, а если сделать
> #du -d1 -h /var
> 2,0K /var/.snap...
> 586M /var
> Получается занято чуть больше 1 Гб.
> Вопрос - откуда еще 400 мб?Имxaется, разгадка может крыться здеся ( man {f,l}stat ):
struct stat {
dev_t st_dev; /* ID of device containing file */
ino_t st_ino; /* inode number */
mode_t st_mode; /* protection */
nlink_t st_nlink; /* number of hard links */
uid_t st_uid; /* user ID of owner */
gid_t st_gid; /* group ID of owner */
dev_t st_rdev; /* device ID (if special file) */
<<< бегин
off_t st_size; /* total size, in bytes */
blksize_t st_blksize; /* blocksize for file system I/O */
blkcnt_t st_blocks; /* number of 512B blocks allocated */
<<< ! бегин
time_t st_atime; /* time of last access */
time_t st_mtime; /* time of last modification */
time_t st_ctime; /* time of last status change */
};
Как можно найти файлы в разделе /var, размеры которых увеличились более чем на 50 мб за последние сутки?
> Как можно найти файлы в разделе /var, размеры которых увеличились более чем
> на 50 мб за последние сутки?файлы логов удаляли?
>> Как можно найти файлы в разделе /var, размеры которых увеличились более чем
>> на 50 мб за последние сутки?
> файлы логов удаляли?да, старые
>>> Как можно найти файлы в разделе /var, размеры которых увеличились более чем
>>> на 50 мб за последние сутки?
>> файлы логов удаляли?
> да, старыете что после ротации или и использующиеся тоже?
в общем перезапустите демон логирования
>>>> Как можно найти файлы в разделе /var, размеры которых увеличились более чем
>>>> на 50 мб за последние сутки?
>>> файлы логов удаляли?
>> да, старые
> те что после ротации или и использующиеся тоже?
> в общем перезапустите демон логированияТолько что перезагрузил сервер.
#df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 989M 593M 318M 65% /
devfs 1.0K 1.0K 0B 100% /dev
/dev/ad0s1e 989M 85M 825M 9% /tmp
/dev/ad0s1f 60G 16G 39G 29% /usr
/dev/ad0s1d 12G 587M 10G 5% /var#du -d1 -h /var
2,0K /var/.snap
2,0K /var/account
6,0K /var/at
2,0K /var/audit
18K /var/backups
4,0K /var/crash
14K /var/cron
578M /var/db
2,0K /var/empty
2,0K /var/heimdal
7,3M /var/log
2,0K /var/mail
4,0K /var/msgs
72K /var/named
2,0K /var/preserve
72K /var/run
2,0K /var/rwho
2,0M /var/tmp
24K /var/yp
2,0K /var/games
588M /var
> /dev/ad0s1d 12G 587M 10G 5% /varРаздел растет, но это не лог файлы
/dev/ad0s1d 12G 588M 10G 5% /var
>> /dev/ad0s1d 12G 587M 10G 5% /var
> Раздел растет, но это не лог файлы
> /dev/ad0s1d 12G 588M
> 10G 5%
> /varна 1М
в 09:49
5,7M /var/log
586M /varв 11:04
7,3M /var/log
588M /var/dev/ad0s1d 12G 587M 10G 5% /var
точно не логи?
> точно не логи?Виноват, ошибся.
Причину нашел - /var/log/alias.log
перезапуск /etc/rc.d/natd обнуляет файл, но он все равно растет
> Причину нашел - /var/log/alias.logВ настройках /etc/natd.conf параметр log yes включен очень давно, но файл лога расти начал недавно. По содержанию трудно понять причину:
use_sockets yes
log yes
log_denied yes
dynamic yesicmp=1, udp=10657, tcp=11609, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22267 (sock=0)
icmp=1, udp=10656, tcp=11609, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22266 (sock=0)
icmp=1, udp=10656, tcp=11608, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22265 (sock=0)
icmp=1, udp=10655, tcp=11608, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22264 (sock=0)
icmp=1, udp=10655, tcp=11609, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22265 (sock=0)
>> Причину нашел - /var/log/alias.log
> В настройках /etc/natd.conf параметр log yes включен очень давно, но файл лога
> расти начал недавно. По содержанию трудно понять причину:причина одна - ССЗБ
>>> Причину нашел - /var/log/alias.log
>> В настройках /etc/natd.conf параметр log yes включен очень давно, но файл лога
>> расти начал недавно. По содержанию трудно понять причину:
> причина одна - ССЗБа по делу?
>[оверквотинг удален]
> icmp=1, udp=10657, tcp=11609, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22267
> (sock=0)
> icmp=1, udp=10656, tcp=11609, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22266
> (sock=0)
> icmp=1, udp=10656, tcp=11608, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22265
> (sock=0)
> icmp=1, udp=10655, tcp=11608, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22264
> (sock=0)
> icmp=1, udp=10655, tcp=11609, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=22265
> (sock=0)по этому нечего не понять, считаете что есть аномальная активность через natd, запустите tcpdump на внутреннем интерфейсе и посмотрите что происходит, потом на внешнем
> по этому нечего не понять, считаете что есть аномальная активность через natd,
> запустите tcpdump на внутреннем интерфейсе и посмотрите что происходит, потом на
> внешнемЧто искать? Много входящего и исходящего трафика, так как сервер является шлюзом
>> по этому нечего не понять, считаете что есть аномальная активность через natd,
>> запустите tcpdump на внутреннем интерфейсе и посмотрите что происходит, потом на
>> внешнем
> Что искать? Много входящего и исходящего трафика, так как сервер является шлюзомМне не известно чего не должно быть в вашей сети.
Начните с udp.
> Что искать? Много входящего и исходящего трафика, так как сервер является шлюзоммного мало это ваши категории в вашей голове ...
например на шлюзе (КАК ПРАВИЛО) преобладает входящий трафик. так что если у вас работа не заключается в аплоаде чего-либо наружу то это уже аномалия.
> например на шлюзе (КАК ПРАВИЛО) преобладает входящий трафик. так что если у
> вас работа не заключается в аплоаде чего-либо наружу то это уже
> аномалия.Странное поведение на внутреннем интерфейсе re1, у IP адреса 192.168.212.211 (В качестве днс сервера используется по умолчанию гугловый 8.8.8.8.)
https://yadi.sk/d/kz1Tbxncet8Uj
А это лог по внешнему интерфейсу re2
>> например на шлюзе (КАК ПРАВИЛО) преобладает входящий трафик. так что если у
>> вас работа не заключается в аплоаде чего-либо наружу то это уже
>> аномалия.
> Странное поведение на внутреннем интерфейсе re1, у IP адреса 192.168.212.211 (В качестве
> днс сервера используется по умолчанию гугловый 8.8.8.8.)
> https://yadi.sk/d/kz1Tbxncet8Uj
> А это лог по внешнему интерфейсу re2
> https://yadi.sk/i/c6BB6sX6et8fG8.8.8.8 вы указали использовать или нет?
если нет , то значит что-то установили или подцепили.
8.8.8.8 не только на 192.168.212.211 используется
>[оверквотинг удален]
>>> вас работа не заключается в аплоаде чего-либо наружу то это уже
>>> аномалия.
>> Странное поведение на внутреннем интерфейсе re1, у IP адреса 192.168.212.211 (В качестве
>> днс сервера используется по умолчанию гугловый 8.8.8.8.)
>> https://yadi.sk/d/kz1Tbxncet8Uj
>> А это лог по внешнему интерфейсу re2
>> https://yadi.sk/i/c6BB6sX6et8fG
> 8.8.8.8 вы указали использовать или нет?
> если нет , то значит что-то установили или подцепили.
> 8.8.8.8 не только на 192.168.212.211 используется8.8.8.8 - раздает dhcp по умолчанию для всех
>[оверквотинг удален]
>>>> аномалия.
>>> Странное поведение на внутреннем интерфейсе re1, у IP адреса 192.168.212.211 (В качестве
>>> днс сервера используется по умолчанию гугловый 8.8.8.8.)
>>> https://yadi.sk/d/kz1Tbxncet8Uj
>>> А это лог по внешнему интерфейсу re2
>>> https://yadi.sk/i/c6BB6sX6et8fG
>> 8.8.8.8 вы указали использовать или нет?
>> если нет , то значит что-то установили или подцепили.
>> 8.8.8.8 не только на 192.168.212.211 используется
> 8.8.8.8 - раздает dhcp по умолчанию для всехне лучший вариант, но ваше право.
тогда что вы считаете странным?192.168.212.211.54887 > 224.0.0.252.5355: - Multicast
192.168.212.211.netbios-ns > 192.168.212.255 - BROADCAST
> тогда что вы считаете странным?например
16:30:24.135648 IP 192.168.212.211.52036 > google-public-dns-a.google.com.domain: 29115+ A? otribmzruv.work.inet. (37)
16:30:24.136385 IP 192.168.212.211.61981 > google-public-dns-a.google.com.domain: 21949+ A? lyvmljccvk.work.inet. (37)
16:30:24.136439 IP 192.168.212.211.51242 > google-public-dns-a.google.com.domain: 39801+ A? araewbhfmy.work.inet. (37)
16:30:24.159126 IP 192.168.212.33.2116 > google-public-dns-a.google.com.domain: 25105+ A? top-fwz1.mail.ru. (34)
16:30:24.163079 IP 192.168.212.211.61124 > google-public-dns-a.google.com.domain: 24355+ A? ultkpekwjkuaj.work.inet. (40)
16:30:24.163600 IP 192.168.212.211.57469 > google-public-dns-a.google.com.domain: 24574+ A? dvfuogd.work.inet. (34)
16:30:24.163689 IP 192.168.212.211.57607 > google-public-dns-a.google.com.domain: 9992+ A? jhbbzlqzpck.work.inet. (38)Запросы в днс гугла на ip адреса компьютеров, которых не существует в сети
> Запросы в днс гугла на ip адреса компьютеров, которых не существует в
> сетину кроме top-fwz1.mail.ru
>> Запросы в днс гугла на ip адреса компьютеров, которых не существует в
>> сети
> ну кроме top-fwz1.mail.ruможет домен для не полных имен, в любом случае идти к 192.168.212.211 и смотреть что там
work.INET. ? WTF?
> work.INET. ? WTF?=) Заметили. переименовал, там название организации нашей.
>> work.INET. ? WTF?
> =) Заметили. переименовал, там название организации нашей.тем более кеширующий dns и на нем же обслуживание своей, пусть и внутренней, зоны и всех на него, а не на 8.8.8.8
> тем более кеширующий dns и на нем же обслуживание своей, пусть и
> внутренней, зоны и всех на него, а не на 8.8.8.8Подправил настройки dhcp.conf, перезапустил. Теперь по-человечески.
> =) Заметили. переименовал, там название организации нашей.милые, долбанутые параноики ...
как вы задолбали со своей угадайкой.
>> =) Заметили. переименовал, там название организации нашей.
> милые, долбанутые параноики ...
> как вы задолбали со своей угадайкой.Легко угадывается.
Решение найдено.Проблема в совместной работе natd и syslogd, а именно в natd/libalias. Как написали на одном из форумов - нужно "natd убивать и запускать заново после ротации лога. man natd"
Проблема закрыта, всем спасибо за помощь.
> Проблема в совместной работе natd и syslogd, а именно в natd/libalias. Как
> написали на одном из форумов - нужно "natd убивать и запускать
> заново после ротации лога. man natd"мда ...