logcheck - Sinn und Zweck

[peterle]

Ich überlege seit ein paar Tagen, ob logcheck eigentlich Sinn und Zweck macht?
Zum einen ist es eine Menge Kram, den ich da tagtäglich geschickt kriege und zum anderen ist er recht belanglos, wenn auch wichtig. Wichtig, aber nicht so wichtig, daß man das Zeugs nun direkt stündlich oder gar täglich kriegen müßte.

Benutzt ihr sowas in einem produktiven System oder macht ihr was anderes, wie z.B. Do nothing! oder ähnliches?

(Ist nicht ganz richtig hier in dem Bereich, aber wo anders fand ich es noch unpassender. )

 

[Athaba]

An einem Produktivsystem wäre es gut ein Konzept zu haben. Da stellt sich dann doch von selbst raus was man benötigt und wie viel Sinn das macht.

Ich selbst finde es ganz praktisch um einen schnellen Überblick zu haben.

Wenn du meinst, dass es dir nichts hilft dann kannst du es natürlich lassen, aber dann würdest du nicht fragen, oder? Wenn es dir zu viel ist wären vielleicht einige Anpassungen ganz gut.

 

[peterle]

Sagen wir mal so, ein Überblick ist sicherlich gut und den liefert logcheck ja auch. Bei einem Server ist das auch noch alles gut les- und machbar, bei 10 Stück wird es dann schon grenzwertig. Zuviele Informationen, die in der Regel immer "harmlose Warnungen" vor Einbruchsversuchen sind, liest man irgendwann einfach nicht mehr. Dafür braucht man aber den ganzen Kram nicht einrichten und warten.

Momentan bin ich etwas unschlüssig, vielleicht versuche ich es mal mit einem Logsever, bzw. rüste logcheck um, mir nur noch die erfolgreichen Einlogvorgänge zu schicken - die sind nämlich deutlich in der Minderzahl und letztendlich aussagekräftiger ...

Irgendwer von Euch noch nette Alternativen dazu, die er favorisiert?

 

[mark05]

hi
also fuer logcheck im produktiv umfeld kann ich nur ossec empfehlen, da man hier vieles einstellen kann von
* report 1x am tag
* event sofort melden
* wenn ein event 10 schnell hinterenander aufgetreten ist 1 mail
* wenn ein event mehrfach auftritt diesen aber nur 1x por stunde melden

usw.

und es als client / server system ausgelegt ist ..... d.h .1 log server der alle regeln etc beherscht und die client ( agents )
nur noch an diesen reporten .
syslog kann dann komplett abgeschaltet werden auf dem agent.

das ding ist echt flexibel.



holger

 

[Athaba]

Deshalb meinte ich ja, dass Anpassungen vielleicht ganz gut sind. Wenn du harmlose bestimmte Informationen nicht willst kannst du sie deaktivieren. Es gibt einige Alternativen, aber die sind finde ich noch schlimmer. Die spucken zwar dann vielleicht standardmäßig weniger Informationen aus, dafür verschwendest du dann erst Zeit wenn du wissen willst um was es sich da jetzt handelt. Die sind dann häufig erst der Overkill.

Aber könntest du vielleicht etwas mehr ins Detail gehen? Für größere/aktive Server wäre gibt es durchaus Lösungen, die einem die Arbeit erleichtern können. Nur wäre es da ganz gut etwas mehr Informationen zu haben. Willst du einen eigenen Server für die Überwachung aufsetzen oder einfach eine Software, die die Logs kleiner und übersichtlicher macht und vielleicht versucht selbst dahinter zu kommen was dich interessiert?

OSSEC ist aber eher mehr und es hört sich an, also ob peterle eher weniger will.

 

[peterle]

Ins Detail gehen?
Das sind 10 Server, die zusammen mehrere Webseiten mit allem drum und dran betreuen. Es verteilt sich also auf Webserver, SQL-Server, Mailserver, Backupserver und ein paar Gemischtwarenläden.
Was ich will, ist was alle wollen, meine Ruhe und die Dinger sollen laufen.
Die laufende Software und OS werden aktuell gehalten, die anbrandenden Brute-Force-Attacken bügelt weitestgehend sshguard ab, dann und wann mal eine DDOS-Reise, die die Server ziemlich gut wegstecken, da sie Ressourcenfreundlich optimiert sind und genügend Luft nach oben haben. Da weder der BND noch die CIA drauf sind, ist die Motivation und das Duchhaltevermögen der DDOS-Kasper auch eher gering.

Wo es bei mir schnell klingeln sollte, ist der Fall, daß jemand anders als ich einloggt oder etwas ändert oder etwas abstürzt.

 

[Athaba]

Dann kannst du doch die Konfiguration von logcheck doch einfach entsprechend abändern?

 

[dark_angel]

Wäre sowas wie nagios evtl. eher etwas für dich?

 

[peterle]

Ich kann natürlich logcheck umkonfigurieren und auch osec und nagios sehen gut aus - was mich aber eigentlich zu der Frage brachte, war, ob es überhaupt sinnvoll im Rahmen von Effizienz ist, so ein System laufen zu lassen. Das wichtigste kippen mir periodic, amanda und smartd täglich zu jedem Server in die Mails und da frage ich mich, ob ihr anderen permanent an euren Servern lauscht oder eher darauf verzichtet.

In 15 Jahren Serveradministration im Internet haben sie mir genau einen Rechner geklaut, den hatte ich sauber geputzt und mit einem gedankenverloren simplen Passwort im Netz stehen lassen. Dauerte eine Woche, dann war es ein Bot und 20 Minuten, dann war es wieder meiner.

 

[nagel]

vll. waere ossim auch interessant (http://alienvault.com/community)

 

[mark05]

also ossec haehre perfekt fuer dich ...

9 agent installieren 1x server und dann alles schoen brav auf dem server configugieren
wie man es braucht und nur da.

ossim ist oversized ....... und , erlich gesagt immer dann wenn es ineressant wird
kommt der hinweis auf die kommerzielle variante.

neben bei beinhaltet ossim ossec und nagios.


holger

 

[peterle]

Danke für die ganzen Ideen - ich teste mal ossec und schaue mal, wie mir das gefällt.

 

[peterle]

Jetzt muß ich den alten Thread nochmal rauskramen.
Ich habe denn mal ossec getestet und es ist tatsächlich der Hit in Tüten für den Fall. Die Konfiguration hat zwar so ein paar Haken und Ösen, was aber vor allem der Dokumentation zu verdanken ist.
Es macht aber immer öfter, was es soll.

 

[mapet]

du solltest dir aber nagios als monitoring lösung dennoch einmal anschauen (oder icinga, falls du den fork möchtest). das meldet dir dann, wenn was abstürzt, der raidcontroller zickt oder eben das, was du ihm sagst und ab wann er was melden soll.

 

[lme]

Icinga, FTW!

 

[peterle]

Momentan schmeißt ossec mir Fehlermeldungen per Mail rüber, wenn etwas unvorhergesehenes in die /varLog/messages wandert, wie z.B. smartctl.
Mehr als dann und wann kaputte Platten habe ich bis dato in 7 Jahren auch nicht zubeklagen gehabt.
Ich schaue mir zu Weihnachten aber trotzdem mal Nagios/Icinga an, so eine Handybenachrichtigung hat ja auch was ...

 

[mapet]

Ich schaue mir zu Weihnachten aber trotzdem mal Nagios/Icinga an, so eine Handybenachrichtigung hat ja auch was ...

die kannst du aber auch mit normaler mailfunktionalität haben, wenn du ein mail to sms dienst nutzt. ist wahrscheinlich auch preiswerter, als direkt nen gsm-modul mit sim an den rechner anzuschließen. allerdings kannst du darüber bei abgebrochener internetverbindung alarmieren oder auch eskalationsstufen realisieren (smsdienst down, smartphone empfängt keine mails etc.)

 

[peterle]

als guter Blackberry-user ist der Mailempfang auf dem Handy nun auch nicht so schwer zu realisieren.

 

[bananenBrot]

Ist die Konfiguration von Icinga einfacher als die grottige von Nagios?

 

[peterle]

Wo ich eben noch ossec lobte ... ist mir aufgefallen, daß es etwas Probleme macht, wenn es das apache access log einlesen soll ... und das nur unter Teillast des Servers. Das ist dann vielleicht doch etwas viel für das gute Ding.

 

[lme]

Ist die Konfiguration von Icinga einfacher als die grottige von Nagios?

Nö, die ist 1:1 gleich geblieben. Hat den Vorteil, dass man seine vorhandene Nagios-Config mehr oder weniger direkt übernehmen kann.

 

[foxkilo]

tipp: nimm OMD und arbeite darin mit check_mk, auf deinem client laesst du den check_mk_agent laufen und packst dort das logwatch.py von mk mit rein.
in der konfig definierst du deine ziel-patterns.

in sachen konfig:
auf dem nagios.server legst du nur den host in der mk-konfig an, sagst noch tcp|snmp und startest per <cmk -I fqdn> die inventarisierung -> danach mit <cmk -U> die nagios-konfig bauen lassen und per <omd stop nagios; omd start nagios> durchstarten - fertig

der logcheck bringt uebrigens ein nettes interface mit, in dem in 5-min-zeitscheiben das log ausgegeben wird, wenn deine patterns mit warn/crit gegriffen haben.

omd ist gerade in der version 0.50 erschien, der core kann von nagios danyamisch mit shinken getauscht werden <cmk config>; in kommenden versionen soll dann auch der icinga-core implementiert werden.

grosses plus bei check_mk/cmk: nur der check_mk ist der aktive check, der rest wird im core passiv gehalten und drueckt damit die last im core nach unten.
weiteres plus: mit <omd create sitename> kannst per einzeiler eine komplette eigene instanz gebaut werden, ich fahre so aktuell 10 instanzen auf einem server -> alle funktionen all-inklusive.

die kombination omd mit mk, mk_livestatus, pnp unf nagvis ist einfach unschlagbar ... ist uebrigens alles im wahrsten sinne des wortes tuetefall in der omd drin.

einziger punkt: wenn eine db benoetigt wird, die ndo flanscht man selber ran

ggf viel spass bei testen/spielen

foxkilo

added:
http://mathias-kettner.de/check_mk.html
http://mathias-kettner.de/omd_intro.html
http://omdistro.org/

 

[mark05]

Wo ich eben noch ossec lobte ... ist mir aufgefallen, daß es etwas Probleme macht, wenn es das apache access log einlesen soll ... und das nur unter Teillast des Servers. Das ist dann vielleicht doch etwas viel für das gute Ding.

noe geht gut sogar mit hoher last.


natuerlich ist wichtig eine performanten logging ( ossec ) server zu haben.

betreibe das hier alss client server system.
sprich auf dem jeweiligen apache server laeuft nur ein agent.

an der stelle funktioniert das ding eigentlich wie ein syslog der zu einem server uebertragt.


holger

 

[peterle]

...
natuerlich ist wichtig eine performanten logging ( ossec ) server zu haben.

betreibe das hier alss client server system.
sprich auf dem jeweiligen apache server laeuft nur ein agent.

an der stelle funktioniert das ding eigentlich wie ein syslog der zu einem server uebertragt.

Der Client scheint mit dem lesen nicht hinterher zu kommen, mir fehlt aber aktuell etwas Zeit, dem nachzuforschen. Mache ich aber noch.
Der ossec server hat auch nichts anderes zu tun, als ossec zu servern. Ich vermuet das Problem aber eher in den Schreib- und Lesefähigkeiten der Hetzner-Server-Platten.
Ähnliche Probleme hatte ich mal mit http://de.piwik.org/ , was damals allerdings auch noch in der Entwicklungsphase war.
Der Apache haut aber durchaus 75 Zeilen pro Sekunde in ruhigen Zeiten in die access-log.
Ein openx server, der zu jeder Seite fünf Werbungen gleichzeitig ausliefern soll, schafft das auch nur, wenn man das Statistikgeklaube dazu massiv verringert.

Die Hardware ist bei allen Servern gleich:

# dmesg 
Copyright (c) 1992-2011 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
        The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 8.2-RELEASE-p3 #0: Tue Sep 27 18:45:57 UTC 2011
    root@amd64-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC amd64
Timecounter "i8254" frequency 1193182 Hz quality 0
CPU: Intel(R) Core(TM) i7 CPU         920  @ 2.67GHz (2684.01-MHz K8-class CPU)
  Origin = "GenuineIntel"  Id = 0x106a5  Family = 6  Model = 1a  Stepping = 5
  Features=0xbfebfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CLFLUSH,DTS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE>
  Features2=0x98e3bd<SSE3,DTES64,MON,DS_CPL,VMX,EST,TM2,SSSE3,CX16,xTPR,PDCM,SSE4.1,SSE4.2,POPCNT>
  AMD Features=0x28100800<SYSCALL,NX,RDTSCP,LM>
  AMD Features2=0x1<LAHF>
  TSC: P-state invariant
real memory  = 12889096192 (12292 MB)
avail memory = 12371013632 (11797 MB)
ACPI APIC Table: <7522MS A7522800>
FreeBSD/SMP: Multiprocessor System Detected: 8 CPUs
FreeBSD/SMP: 1 package(s) x 4 core(s) x 2 SMT threads
 cpu0 (BSP): APIC ID:  0
 cpu1 (AP): APIC ID:  1
 cpu2 (AP): APIC ID:  2
 cpu3 (AP): APIC ID:  3
 cpu4 (AP): APIC ID:  4
 cpu5 (AP): APIC ID:  5
 cpu6 (AP): APIC ID:  6
 cpu7 (AP): APIC ID:  7
ioapic0 <Version 2.0> irqs 0-23 on motherboard
kbd1 at kbdmux0
acpi0: <7522MS A7522800> on motherboard
acpi0: [ITHREAD]
acpi0: Power Button (fixed)
acpi0: reservation of 0, a0000 (3) failed
acpi0: reservation of 100000, bff00000 (3) failed
Timecounter "ACPI-fast" frequency 3579545 Hz quality 1000
acpi_timer0: <24-bit timer at 3.579545MHz> port 0x808-0x80b on acpi0
cpu0: <ACPI CPU> on acpi0
ACPI Warning: Incorrect checksum in table [OEMB] - 0xB6, should be 0xB5 (20101013/tbutils-354)
cpu1: <ACPI CPU> on acpi0
cpu2: <ACPI CPU> on acpi0
cpu3: <ACPI CPU> on acpi0
cpu4: <ACPI CPU> on acpi0
cpu5: <ACPI CPU> on acpi0
cpu6: <ACPI CPU> on acpi0
cpu7: <ACPI CPU> on acpi0
pcib0: <ACPI Host-PCI bridge> port 0xcf8-0xcff on acpi0
pci0: <ACPI PCI bus> on pcib0
pcib1: <ACPI PCI-PCI bridge> at device 1.0 on pci0
pci1: <ACPI PCI bus> on pcib1
pcib2: <ACPI PCI-PCI bridge> at device 3.0 on pci0
pci2: <ACPI PCI bus> on pcib2
vgapci0: <VGA-compatible display> mem 0xfa000000-0xfaffffff,0xd0000000-0xdfffffff,0xf9000000-0xf9ffffff irq 16 at device 0.0 on pci2
pcib3: <ACPI PCI-PCI bridge> at device 7.0 on pci0
pci3: <ACPI PCI bus> on pcib3
pci0: <base peripheral, interrupt controller> at device 20.0 (no driver attached)
pci0: <base peripheral, interrupt controller> at device 20.1 (no driver attached)
pci0: <base peripheral, interrupt controller> at device 20.2 (no driver attached)
pci0: <base peripheral, interrupt controller> at device 20.3 (no driver attached)
uhci0: <Intel 82801JI (ICH10) USB controller USB-D> port 0xbc00-0xbc1f irq 16 at device 26.0 on pci0
uhci0: [ITHREAD]
uhci0: LegSup = 0x2f00
usbus0: <Intel 82801JI (ICH10) USB controller USB-D> on uhci0
uhci1: <Intel 82801JI (ICH10) USB controller USB-E> port 0xb880-0xb89f irq 21 at device 26.1 on pci0
uhci1: [ITHREAD]
uhci1: LegSup = 0x2f00
usbus1: <Intel 82801JI (ICH10) USB controller USB-E> on uhci1
uhci2: <Intel 82801JI (ICH10) USB controller USB-F> port 0xb800-0xb81f irq 19 at device 26.2 on pci0
uhci2: [ITHREAD]
uhci2: LegSup = 0x2f00
usbus2: <Intel 82801JI (ICH10) USB controller USB-F> on uhci2
ehci0: <Intel 82801JI (ICH10) USB 2.0 controller USB-B> mem 0xf8ffe000-0xf8ffe3ff irq 18 at device 26.7 on pci0
ehci0: [ITHREAD]
usbus3: EHCI version 1.0
usbus3: <Intel 82801JI (ICH10) USB 2.0 controller USB-B> on ehci0
pcib4: <ACPI PCI-PCI bridge> irq 17 at device 28.0 on pci0
pci4: <ACPI PCI bus> on pcib4
pcib5: <ACPI PCI-PCI bridge> irq 17 at device 28.4 on pci0
pci6: <ACPI PCI bus> on pcib5
re0: <RealTek 8168/8111 B/C/CP/D/DP/E PCIe Gigabit Ethernet> port 0xd800-0xd8ff mem 0xfbdff000-0xfbdfffff,0xf7ff0000-0xf7ffffff irq 16 at device 0.0 on pci6
re0: Using 1 MSI messages
re0: Chip rev. 0x3c000000
re0: MAC rev. 0x00400000
miibus0: <MII bus> on re0
rgephy0: <RTL8169S/8110S/8211B media interface> PHY 1 on miibus0
rgephy0:  10baseT, 10baseT-FDX, 10baseT-FDX-flow, 100baseTX, 100baseTX-FDX, 100baseTX-FDX-flow, 1000baseT, 1000baseT-master, 1000baseT-FDX, 1000baseT-FDX-master, 1000baseT-FDX-flow, 1000baseT-FDX-flow-master, auto, auto-flow
re0: Ethernet address: 00:24:21:e5:8d:10
re0: [FILTER]
uhci3: <Intel 82801JI (ICH10) USB controller USB-A> port 0xb480-0xb49f irq 23 at device 29.0 on pci0
uhci3: [ITHREAD]
uhci3: LegSup = 0x2f00
usbus4: <Intel 82801JI (ICH10) USB controller USB-A> on uhci3
uhci4: <Intel 82801JI (ICH10) USB controller USB-B> port 0xb400-0xb41f irq 19 at device 29.1 on pci0
uhci4: [ITHREAD]
uhci4: LegSup = 0x2f00
usbus5: <Intel 82801JI (ICH10) USB controller USB-B> on uhci4
uhci5: <Intel 82801JI (ICH10) USB controller USB-C> port 0xb080-0xb09f irq 18 at device 29.2 on pci0
uhci5: [ITHREAD]
uhci5: LegSup = 0x2f00
usbus6: <Intel 82801JI (ICH10) USB controller USB-C> on uhci5
ehci1: <Intel 82801JI (ICH10) USB 2.0 controller USB-A> mem 0xf8ffc000-0xf8ffc3ff irq 23 at device 29.7 on pci0
ehci1: [ITHREAD]
usbus7: EHCI version 1.0
usbus7: <Intel 82801JI (ICH10) USB 2.0 controller USB-A> on ehci1
pcib6: <ACPI PCI-PCI bridge> at device 30.0 on pci0
pci7: <ACPI PCI bus> on pcib6
re1: <RealTek 8169/8169S/8169SB(L)/8110S/8110SB(L) Gigabit Ethernet> port 0xe800-0xe8ff mem 0xfbeffc00-0xfbeffcff irq 16 at device 0.0 on pci7
re1: Chip rev. 0x10000000
re1: MAC rev. 0x00000000
miibus1: <MII bus> on re1
rgephy1: <RTL8169S/8110S/8211B media interface> PHY 1 on miibus1
rgephy1:  10baseT, 10baseT-FDX, 10baseT-FDX-flow, 100baseTX, 100baseTX-FDX, 100baseTX-FDX-flow, 1000baseT, 1000baseT-master, 1000baseT-FDX, 1000baseT-FDX-master, 1000baseT-FDX-flow, 1000baseT-FDX-flow-master, auto, auto-flow
re1: Ethernet address: 00:e0:51:0e:01:c8
re1: [FILTER]
isab0: <PCI-ISA bridge> at device 31.0 on pci0
isa0: <ISA bus> on isab0
atapci0: <Intel ICH10 SATA300 controller> port 0xb000-0xb007,0xac00-0xac03,0xa880-0xa887,0xa800-0xa803,0xa480-0xa49f mem 0xf8ffa000-0xf8ffa7ff irq 19 at device 31.2 on pci0
atapci0: [ITHREAD]
atapci0: AHCI called from vendor specific driver
atapci0: AHCI v1.20 controller with 6 3Gbps ports, PM not supported
ata2: <ATA channel 0> on atapci0
ata2: [ITHREAD]
ata3: <ATA channel 1> on atapci0
ata3: [ITHREAD]
ata4: <ATA channel 2> on atapci0
ata4: [ITHREAD]
ata5: <ATA channel 3> on atapci0
ata5: [ITHREAD]
ata6: <ATA channel 4> on atapci0
ata6: [ITHREAD]
ata7: <ATA channel 5> on atapci0
ata7: [ITHREAD]
pci0: <serial bus, SMBus> at device 31.3 (no driver attached)
acpi_button0: <Power Button> on acpi0
atrtc0: <AT realtime clock> port 0x70-0x71 irq 8 on acpi0
uart0: <16550 or compatible> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
uart0: [FILTER]
atkbdc0: <Keyboard controller (i8042)> port 0x60,0x64 irq 1 on acpi0
atkbd0: <AT Keyboard> irq 1 on atkbdc0
kbd0 at atkbd0
atkbd0: [GIANT-LOCKED]
atkbd0: [ITHREAD]
acpi_hpet0: <High Precision Event Timer> iomem 0xfed00000-0xfed003ff on acpi0
Timecounter "HPET" frequency 14318180 Hz quality 900
qpi0: <QPI system bus> on motherboard
pcib7: <QPI Host-PCI bridge> pcibus 255 on qpi0
pci255: <PCI bus> on pcib7
orm0: <ISA Option ROM> at iomem 0xc0000-0xcefff on isa0
sc0: <System console> at flags 0x100 on isa0
sc0: VGA <16 virtual consoles, flags=0x300>
vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
ppc0: cannot reserve I/O port range
est0: <Enhanced SpeedStep Frequency Control> on cpu0
p4tcc0: <CPU Frequency Thermal Control> on cpu0
est1: <Enhanced SpeedStep Frequency Control> on cpu1
p4tcc1: <CPU Frequency Thermal Control> on cpu1
est2: <Enhanced SpeedStep Frequency Control> on cpu2
p4tcc2: <CPU Frequency Thermal Control> on cpu2
est3: <Enhanced SpeedStep Frequency Control> on cpu3
p4tcc3: <CPU Frequency Thermal Control> on cpu3
est4: <Enhanced SpeedStep Frequency Control> on cpu4
p4tcc4: <CPU Frequency Thermal Control> on cpu4
est5: <Enhanced SpeedStep Frequency Control> on cpu5
p4tcc5: <CPU Frequency Thermal Control> on cpu5
est6: <Enhanced SpeedStep Frequency Control> on cpu6
p4tcc6: <CPU Frequency Thermal Control> on cpu6
est7: <Enhanced SpeedStep Frequency Control> on cpu7
p4tcc7: <CPU Frequency Thermal Control> on cpu7
ZFS filesystem version 4
ZFS storage pool version 15
Timecounters tick every 1.000 msec
usbus0: 12Mbps Full Speed USB v1.0
usbus1: 12Mbps Full Speed USB v1.0
usbus2: 12Mbps Full Speed USB v1.0
usbus3: 480Mbps High Speed USB v2.0
usbus4: 12Mbps Full Speed USB v1.0
usbus5: 12Mbps Full Speed USB v1.0
usbus6: 12Mbps Full Speed USB v1.0
usbus7: 480Mbps High Speed USB v2.0
ugen0.1: <Intel> at usbus0
uhub0: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus0
ugen1.1: <Intel> at usbus1
uhub1: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus1
ugen2.1: <Intel> at usbus2
uhub2: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus2
ugen3.1: <Intel> at usbus3
uhub3: <Intel EHCI root HUB, class 9/0, rev 2.00/1.00, addr 1> on usbus3
ugen4.1: <Intel> at usbus4
uhub4: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus4
ugen5.1: <Intel> at usbus5
uhub5: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus5
ugen6.1: <Intel> at usbus6
uhub6: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus6
ugen7.1: <Intel> at usbus7
uhub7: <Intel EHCI root HUB, class 9/0, rev 2.00/1.00, addr 1> on usbus7
ad4: 1430799MB <Seagate ST31500341AS CC1H> at ata2-master UDMA100 SATA 3Gb/s
ad6: 1430799MB <Seagate ST31500341AS CC1H> at ata3-master UDMA100 SATA 3Gb/s
SMP: AP CPU #1 Launched!
SMP: AP CPU #7 Launched!
SMP: AP CPU #5 Launched!
SMP: AP CPU #3 Launched!
SMP: AP CPU #6 Launched!
SMP: AP CPU #4 Launched!
SMP: AP CPU #2 Launched!
Root mount waiting for: usbus7 usbus6 usbus5 usbus4 usbus3 usbus2 usbus1 usbus0
uhub0: 2 ports with 2 removable, self powered
uhub1: 2 ports with 2 removable, self powered
uhub2: 2 ports with 2 removable, self powered
uhub4: 2 ports with 2 removable, self powered
uhub5: 2 ports with 2 removable, self powered
uhub6: 2 ports with 2 removable, self powered
Root mount waiting for: usbus7 usbus3
Root mount waiting for: usbus7 usbus3
uhub3: 6 ports with 6 removable, self powered
uhub7: 6 ports with 6 removable, self powered

Keine Ahnung, finden wir auch noch, danke für die Ideen!

 

[mark05]

hi

logging hat immer was mit festplatten io und ram zu tun .... cpu ist nebensaechlich.

ich selber logge auf nfs laufwerke die von einem openindiana server kommen.
somit habe ich noch den buffer vom nfs.

ein no atime macht ggf auch sinn da timestamp ja eh im log enthalten ist.

softupdates on ?
ggf ueberlegen om man groessere sektoren beim formatieren de HD nimmt
reserviere buffer und cache wird dann auch groesser.

im zweifel hilft auch ein data stripe ( mirror0 ) fuer aktiven logs.
und zum archivieren ein raid 5 ....


holger