【RHEL / vROps】rsyslogでvROpsからログを受信する際にFraming Errorメッセージが大量に出力される【解決】

2021-03-30T21:29:49+09:00

vROps（VMware vRealize Operations）のログを
rsyslogで受信する設定をした際に、
/var/log/messagesにFraming Errorメッセージが大量に出力される現象が発生したため、メモ

動作環境

Red Hat Enterprise Linux 8.3 (Ootpa)
Kernel: 4.18.0-240.el8.x86_64
rsyslogd 8.1911.0-6.el8

Framing Errorメッセージ

Mar 25 11:21:41 servername rsyslogd[1511]: imtcp imtcp: Framing Error in received TCP message from peer: (hostname) vROpsserver, (ip) vROpsserver: delimiter is not SP but has ASCII value 10. [v8.1911.0-6.el8]
Mar 25 11:21:41 servername rsyslogd[1511]: imtcp imtcp: Framing Error in received TCP message from peer: (hostname) vROpsserver, (ip) vROpsserver: delimiter is not SP but has ASCII value 45. [v8.1911.0-6.el8]
Mar 25 11:21:41 servername rsyslogd[1511]: imtcp imtcp: Framing Error in received TCP message from peer: (hostname) vROpsserver, (ip) vROpsserver: delimiter is not SP but has ASCII value 58. [v8.1911.0-6.el8]
Mar 25 11:21:41 servername rsyslogd[1511]: imtcp imtcp: Framing Error in received TCP message from peer: (hostname) vROpsserver, (ip) vROpsserver: delimiter is not SP but has ASCII value 62. [v8.1911.0-6.el8]

Valueの数値は、10,45,58,62の4種類かな？
メッセージが大量に出力されるため、/var/log/messagesがこのメッセージで埋まってしまう…

【Framing Errorメッセージについて】
rsyslogdが受信したメッセージの形式が不正であった場合に出力されるメッセージで
メッセージ区切り文字が SP（space）ではなく ASCII 文字の value [xx] として受信したことを意味しているようです。

vROpsがoctet-counted framingを採用していることが原因

vROpsがoctet-counted framingを採用していることによるエラーとのことなので
syslogサーバでOctetCountedFramingをオフにすればOK

対応

rsyslog設定ファイルに、OctetCountedFramingを無効にする設定をする

# vi /etc/rsyslog.conf

## 修正前
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")

## 修正後
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514" supportOctetCountedFraming="off")

rsyslogd再起動で設定を反映

# systemctl restart rsyslog

【RHEL】crontabにlogrotateコマンドを登録したのに実行されなかった【解決】

2021-03-26T21:32:33+09:00

カスタムで作ったログローテ設定ファイルを読み込んで
任意の時間でログローテーションしたくて

crontab -e（/var/spool/cron/root）に
logrotateコマンドを登録したら実行されなかったのでメモ

結果的には、logrotateコマンドをフルパスで指定することで解決しました。

動作環境

Red Hat Enterprise Linux 8.3 (Ootpa)
Kernel: 4.18.0-240.el8.x86_64
logrotate 3.14.0

cron設定

以下の設定でlogrotateコマンドをcrontabに登録

# crontab -l
0 1 * * * logrotate -f /root/rsyslog_custom.conf

したけど、なんだか動作してないっぽい

ログ確認

とりあえずログを確認

# tail /var/log/cron
Mar 26 10:55:01 servername CROND[86361]: (root) CMD (logrotate -f /root/rsyslog_custom.conf)
Mar 26 10:55:01 servername CROND[86338]: (root) CMDOUT (/bin/sh: logrotate: コマンドが見つかりません)

コマンドが見つからない？なんで？？

原因

調べてみたら、ログイン時に読み込まれる環境変数と
cron実行時に読み込まれている環境変数が異なるから、とのこと。

なるほど、PATHの変数の内容が違うのかな？

検証

試しにcron実行されるときのPATHを確認

# crontab -e
0 1 * * * logrotate -f /root/rsyslog_custom.conf
## PATH変数を出力するコマンドを登録
0 11 * * * echo $PATH > /tmp/path.txt

cron実行される時のPATH

# cat /tmp/path.txt
/usr/bin:/bin

rootログイン時のPATH

# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin

logrotateコマンドのフルパス

# which logrotate
/usr/sbin/logrotate

なるほど、cron実行時のPATHに/usr/sbinがないから
そりゃ実行できないよね…

対応

フルパス指定でcron登録を修正

# crontab -l
0 1 * * * /usr/sbin/logrotate -f /root/rsyslog_custom.conf

実行されているか確認

# tail /var/log/cron
Mar 26 11:06:01 servername CROND[86677]: (root) CMD (/usr/sbin/logrotate -f /root/rsyslog_custom.conf)

動いた！

cronって今までシェルスクリプトの登録くらいしかしてなかったから
環境変数違うなんて気がつかなかったな…笑

「RHEL8」の記事 - Crieit

【RHEL / vROps】rsyslogでvROpsからログを受信する際にFraming Errorメッセージが大量に出力される【解決】

【RHEL】crontabにlogrotateコマンドを登録したのに実行されなかった【解決】