いますぐ実践! Linuxシステム管理

[バックナンバーのトップへ] [Linux システム管理のトップへ]


いますぐ実践! Linux システム管理 / Vol.140 / 読者数:1283名

こんばんは、うすだです。

不到達なメールアドレスを整理しますよ、 というまぐまぐさんからの連絡があってからほどなく、 読者数がごっそり減ってしまいました。

そもそも、いないひと宛に、余計に送っていただけなのですから、 その分の電気代などが浮いて、地球にやさしいよいことをされたと思います。

…などと自分を慰めたりしてみたのですが。
まあ、その、やっぱり、ちょっとヘコみます。

そもそも、登録された読者数なんかよりも、どれだけのかたが、読んで、 実際に試して、多少なりとも糧にしてくださっているのか、ということのほうが、 はるかに大事だと思うのです。

…ええ、それはわかっているんですけどね。
まあ、その、読者数というはっきりとした数値は、わかりやすいのです。

何人のかたが読んだとか、試したとかが、なんらかの形ではっきりわかると、 読者数にとらわれることも少なくなると思います。たぶん。
ですので、みなさまの手間にならずに、 小細工的に仕込むだけで近似値が得られる方法がないかな、なんて、 ときどき思案したりしております。

今回は、もんもんとしながらも、はりきっていってみようと思います。

今回のお題 - プロセスアカウンティングを管理する

前回、プロセスアカウンティングの概要を、ご紹介しました。

Vol.139 - プロセスアカウンティングでコマンド履歴を残す
http://www.usupi.org/sysad/139.html

今回は、前回ご紹介しきれなかった、実際に運用していく際の管理方法について、 ご紹介したいと思います。(やや脱線もしていますが…。)


なんせ、実行されたコマンドの履歴をすべて記録するというのですから、 ログも膨大になる可能性があります。

ですので、1日のログの量と、ディスクの容量から、 適切な日数だけ残すように設定するとか、必要な日数が決まっているなら、 ディスクの増量を検討するなど、行うべきではないかと思います。

さて、ログのローテーションですが、RedHat 系の場合は logrotate を、 Debian 系の場合は savelog を用いて、それぞれ実現しています。
以下では、それぞれの設定変更の手順を、さらりとご紹介します。

 

RedHat 系の場合は、/etc/logrotate.d/psacct が、以下のようになっています。

  /var/account/psacct {
      prerotate
          /sbin/accton
      endscript
          compress
          notifempty
          daily
          rotate 31
          create 0600 root root
      postrotate
          /sbin/accton /var/account/psacct
      endscript
  }

ローテーションを、日単位ではなく週単位や月単位にしたければ、 daily を weekly や monthly に変更しましょう。
また、上記では31回分を保存する設定になっていますが、 rotate の後の数(31)を変更すれば、保存日数(あるいは週/月数)を変更できます。

 

Debian 系の場合は、/etc/cron.daily/acct の主要部分が、以下のようになっています。

  ...前略
  # Save log file
  cd /var/log/account
  savelog -g adm -m 0640 -u root -c "${ACCT_LOGGING}" \
  /var/log/account/pacct > /dev/null

  # Restart acct
  /etc/init.d/acct restart > /dev/null
  ...後略

ローテーションを、日単位ではなく週単位や月単位にしたい場合は、 このファイルの置き場所自体を、 /etc/cron.weekly や /etc/cron.monthly に変更しましょう。
また、保存回数は、上記の ${ACCT_LOGGING} で決まりますが、これは、 /etc/default/acct で 30 に設定されています。変更したい場合は、 このファイルの値を書き換えましょう。


さて、古いログファイルは消されていく運命にありますが、それでは困るとばかりに、 別の場所に退避させることもあるのではないかと思います。

そうしますと、いつでもどこでも、ログの情報を参照できると、便利ですよね。 ですので、以降では、ログの内容を読み出すスクリプトを、作ってみたいと思います。

ログに記録される内容は、/usr/include/sys/acct.h で定義されている、 acct 構造体そのまんまです。(以下は Vine Linux 4.2 の場合です。)

  struct acct {
      char ac_flag;               /* フラグ */
      u_int16_t ac_uid;           /* ユーザID */
      u_int16_t ac_gid;           /* グループID */
      u_int16_t ac_tty;           /* tty */
      u_int32_t ac_btime;         /* 実行開始時刻 */
  ...中略...
      char ac_comm[ACCT_COMM+1];  /* コマンド名 */
      char ac_pad[10];            /* パディング */
  };

ログは、この acct 構造体の羅列です。
ですので、acct 構造体のサイズ(64バイト)ごとに読み込み、 必要な情報を抜き出して出力してやれば、よさそうです。
というわけで、そんな Perl スクリプトを書いてみました。

  #!/usr/bin/perl
  use POSIX qw(strftime);
  use strict;

  while(read(STDIN, my $buf, 64) == 64) {
      my @dat = unpack("S S S S I L6 Z*", $buf);
      my $timestr = strftime("%F %T", localtime($dat[4]));
      printf("uid=[%d] gid=[%d] time=[%s] comm=[%s]\n",
          $dat[1], $dat[2], $timestr, $dat[11]);
  }

詳細な説明は割愛しますが、上記では ac_uid, ac_gid, ac_btime および ac_comm を、 ひたすら出力します。
これを、たとえば readacct.pl という名前で保存したら、 以下のように実行してみてください。

  $ chmod +x readcct.pl
  $ sudo ./readacct.pl < ログファイル
  uid=[0] gid=[0] time=[2008-07-05 01:03:19] comm=[accton]
  uid=[0] gid=[0] time=[2008-07-05 01:03:19] comm=[gzip]
  uid=[0] gid=[0] time=[2008-07-05 01:03:19] comm=[logrotate]
  ...後略...

ちなみに、acct 構造体のサイズや、各メンバ(ac_uid など)のオフセットは、 以下のような C のプログラムで確認しました。

  #include 

  int main(int argc, char *argv[])
  {
      struct acct dat;
      printf("sizeof(struct acct) = %d\n", sizeof(dat));
      printf("offsetof(struct acct, ac_uid) = %d\n",
          offsetof(struct acct, ac_uid));
  ...中略...
      return 0;
  }

ところで、プロセスアカウンティングを、以下のように、 chkconfig などで起動しない設定にしていても、 プロセスアカウンティングが有効になることがあります。

  # chkconfig psacct off        (RedHat 系の場合)
  $ update-rc.d -f acct remove  (Debian 系の場合)

実は、ローテーションの際、logrotate や savelog が実行された後に、 プロセスアカウンティングを有効にしてしまっている箇所があります。

RedHat 系の場合、/etc/logrotate.d/psacct の後処理の部分が、 以下のようになっています。

  postrotate
      /sbin/accton /var/account/psacct
  endscript

これでは、問答無用でプロセスアカウンティングを有効にしてしまいますので、 chkconfig でサービスを無効にしても、意味がありません。

Debian 系の場合、/etc/cron.daily/acct の最後が、以下のようになっています。

  # Restart acct
  /etc/init.d/acct restart > /dev/null
  ...後略

これも同様に、savelog コマンドを実行後、 プロセスアカウンティングが有効になってしまいます。 update-rc.d コマンドでサービスを無効にしていても、覆されてしまいますね。
(ただし、/etc/default/acct の ACCT_ENABLE が 1 でない場合は、 有効にされることはないようです。)

ですので、プロセスアカウンティングのパッケージをインストールして、 使用しなくなったときには、パッケージをアンインストールするか、 有効にされないよう、細工を施す必要があると思います。
そんなシチュエーションにいる貴兄は、ご注意くださいまし。


以上、プロセスアカウンティングの管理方法について、ご紹介しました。

ところで、こういったサービスは、ユーザ・アプリケーション側で処理を行う (つまりユーザ・アプリケーションの手助けが必要となる) ことが多いように思われます。ですので、カーネルが直接ファイルに書き込むのは、 珍しいケースなのではないでしょうか。

これを、デバイスファイルや proc_fs などを経由して、 ユーザ・アプリケーションに行わせるようにしたとき、 どのような利点や問題が発生する可能性があるのか、 考えてみると面白いかもしれません。

なにはともあれ、こりゃ使えるぜっなどと思われた貴兄は、 いろいろ試行錯誤してみてくださいませ。(あ、強引に結論へ持っていきましたよ。)

宿題の答え

前回の宿題は、

  ファイルシステムの空き容量が少ないと、プロセスアカウンティングの
  記録はどうなるでしょうか。

でした。

空き容量が少なくなると、カーネルが以下を出力して、 アカウンティングを停止してしまいます。

  Process accounting paused

ですが、空き容量が一定以上になりますと、カーネルが以下を出力して、 アカウンティングを再開してくれます。

  Process accounting resumed

これらの基準ですが、具体的には、/proc/sys/kernel/acct の値で決まります。

  % cat /proc/sys/kernel/acct
  4       2       30

ちなみに、同じパラメータを、sysctl コマンドでも参照できます。

  % sysctl kernel.acct
  kernel.acct = 4 2      30

さて、上記の場合、空き容量が 2% 以下でアカウンティングを停止して、 4% 以上で再開します。そして、空き容量の確認を、30秒毎に行います。

ちなみに、これを変更したい場合は、以下のようにしてください。
以下では、2% 以上で再開、1% 以下で停止、60秒毎に確認、という設定にしています。

  # echo "2 1 60" > /proc/sys/kernel/acct
  もしくは
  # sysctl -w kernel.acct="2 1 60"

うちの HDD は大容量だから、ちょっとやそっとでは溢れないぜ、という貴兄は、 閾値を下げてみるとよいかもしれません。

今回の宿題

今回の宿題は、

  ログのローテーション実行後、プロセスアカウンティングを勝手に有効
  にしてしまわないよう、細工を施してみましょう。

です。

本題で触れましたが、chkconfig や update-rc.d で無効にしていても、 ローテーション後に有効にされてしまうことがあります。
これを、小手先的な対処で、ある程度、なんとかしてみたいと思います。
みなさんも、ちょこっと考えてみてくださいませ。

あとがき

というわけで、6月21日に、長野県は小布施というところへ、 とある栗なイベントに参加するために、行って参りました。

イベント自体は、栗庵風味堂さんの「初栗」という栗菓子が、 とてもよい賞を受賞しましたので、その記念に行われたものです。

それに便乗しまして、お子さまを対象に、栗日記ぬり絵大会なるものを、 開催していただきました。
ついでに、店舗のはしっこで、作者自ら、 ほそぼそと栗バッジを売らせていただきました。

栗バッジの販売のほうは、お店の販売員のかたにお手伝いいただいたにもかかわらず、 それはもう、華麗なほど売れませんでしたが、ぬり絵のほうは、 150枚以上集まって、それはもう、大盛況でした。
(ぬり絵が集まったのは、わた菓子がもらえたからかもしれませんが。)

まあとにかく、わた菓子がメインだろうがなんだろうが、集まったぬり絵は、 固定観念に縛られない、自由奔放なぬり絵のオンパレードで、 選考にとても頭を悩まさせられました。(もちろん、うれしい悩み、でした。)

配色の自由さもさることながら、ぬる場所も自由(枠とかお店の名前とかにもご丁寧に)、 ぬり絵という概念からも自由(勝手に絵を描き足して)、などなど、 いろいろ想定外な自由さを、まざまざと見せつけられました。

また、フェルトペンで真剣勝負!な絵もいくつかあり、 ぎゅーっとペンを押しつけられて、紙に穴が開いてしまった様を拝見しますと、 一所懸命に描いてくれたのかなと思い、じんっと来るものがありました。

大人になりますと、つい、ここはこうしなきゃとか、これはこうしちゃあいけないとか、 自分で勝手にルールを決めてしまって、 その枠の中でしか行動できなくなっていることが、多いように思います。

そういう枠にとらわれないで、お客さんや自分の会社などが、 ともによりよくなるもっとよい方法を、頭を軟らかくして考えて、 行動に移していくべきではないかな、と思いました。

もちろん、お給料をいただいているお仕事だけでなく、家庭や趣味など、 いろんなことにも当てはまることだと思います。
わたしも、家庭やシス管、栗などで、軟らかく考えていこうと思います。

 

今回も、ここまで読んでいただき、ありがとうございました。
それでは、次回は 7月20日(日) 頃に、お会いしましょう!

 

「いますぐ実践! Linux システム管理」の解除は、以下からできます。
http://www.usupi.org/sysad/ (まぐまぐ ID:149633)

バックナンバーは、こちらにほぼ全部そろっています。
http://www.usupi.org/sysad/backno.html

「栗日記」−あまり売れなかったけど、よい出会いもありました。
http://www.usupi.org/kuri/ (まぐまぐ ID:126454)
http://usupi.seesaa.net/ (栗日記ブログ)


[バックナンバーのトップへ] [Linux システム管理のトップへ]

トップ

バックナンバー
    [日付順] [目的別]

プロフィール

▼ リンク

独学Linux
Linuxデスクトップ環境に関する情報が満載です。 メルマガもありますよ。
Server World
CentOS 6をサーバとしたときの設定例が、これでもかというくらいたくさん載っています。 CentOS以外のディストリビューション(Fedora, Ubuntu)も充実しています。
LINUXで自宅サーバーを構築・導入(Fedora9)
Fedora9のインストールの仕方から管理方法まで、詳しく載っています。 SearchManには情報がもりだくさんです。
マロンくん.NET
〜サーバ管理者への道〜
Linuxをサーバとして使用するための、いろいろな設定方法が載っています。 マロンくんもかわいいです。 なんといっても、マロンくんという名前がいいですね!!
日経Linux
今や数少なくなってしまったLinuxの雑誌。ニュースやガイドもあります。
Linux Square − @IT
@ITが提供する、Linux の情報が満載。 載っていない設定方法はないんじゃないでしょうか。
gihyo.jp…技術評論社
Linuxに限らず様々な技術情報が満載のサイト。 SoftwareDesign誌も、 ソフトウェア技術者は必見です。
SourceForge.JP Magazine
Linux に限らず、オープンソース関連の記事が網羅されています。
ITmediaエンタープライズ:Linux Tips 一覧
Tips というより FAQ 集でしょうか。わからないことがあれば覗きましょう。
IBM developerWorks : Linux
開発者向けですが、勉強になりますよ。
Yahoo!ニュース - Linux
Yahoo!のLinuxに関するニュース一覧です。
栗日記
システム管理とかと全然関係ありませんが、毎日栗の絵を描いています。
システム管理につかれちゃったとき、癒されたいときに、ご覧ください。:-)
WEB RANKING - PC関連
ランキングに参加してみました。押してやってください。

▼ 作ってみました

Add to Google

▼ せんでん




▼ 最近読んだ本

▼ 気に入ってる本