【RHEL / vROps】rsyslogでvROpsからログを受信する際にFraming Errorメッセージが大量に出力される【解決】

2021-03-30T21:29:49+09:00

vROps（VMware vRealize Operations）のログを
rsyslogで受信する設定をした際に、
/var/log/messagesにFraming Errorメッセージが大量に出力される現象が発生したため、メモ

動作環境

Red Hat Enterprise Linux 8.3 (Ootpa)
Kernel: 4.18.0-240.el8.x86_64
rsyslogd 8.1911.0-6.el8

Framing Errorメッセージ

Mar 25 11:21:41 servername rsyslogd[1511]: imtcp imtcp: Framing Error in received TCP message from peer: (hostname) vROpsserver, (ip) vROpsserver: delimiter is not SP but has ASCII value 10. [v8.1911.0-6.el8]
Mar 25 11:21:41 servername rsyslogd[1511]: imtcp imtcp: Framing Error in received TCP message from peer: (hostname) vROpsserver, (ip) vROpsserver: delimiter is not SP but has ASCII value 45. [v8.1911.0-6.el8]
Mar 25 11:21:41 servername rsyslogd[1511]: imtcp imtcp: Framing Error in received TCP message from peer: (hostname) vROpsserver, (ip) vROpsserver: delimiter is not SP but has ASCII value 58. [v8.1911.0-6.el8]
Mar 25 11:21:41 servername rsyslogd[1511]: imtcp imtcp: Framing Error in received TCP message from peer: (hostname) vROpsserver, (ip) vROpsserver: delimiter is not SP but has ASCII value 62. [v8.1911.0-6.el8]

Valueの数値は、10,45,58,62の4種類かな？
メッセージが大量に出力されるため、/var/log/messagesがこのメッセージで埋まってしまう…

【Framing Errorメッセージについて】
rsyslogdが受信したメッセージの形式が不正であった場合に出力されるメッセージで
メッセージ区切り文字が SP（space）ではなく ASCII 文字の value [xx] として受信したことを意味しているようです。

vROpsがoctet-counted framingを採用していることが原因

vROpsがoctet-counted framingを採用していることによるエラーとのことなので
syslogサーバでOctetCountedFramingをオフにすればOK

対応

rsyslog設定ファイルに、OctetCountedFramingを無効にする設定をする

# vi /etc/rsyslog.conf

## 修正前
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")

## 修正後
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514" supportOctetCountedFraming="off")

rsyslogd再起動で設定を反映

# systemctl restart rsyslog

「rsyslog」の記事 - Crieit

【RHEL / vROps】rsyslogでvROpsからログを受信する際にFraming Errorメッセージが大量に出力される【解決】

動作環境

Framing Errorメッセージ

vROpsがoctet-counted framingを採用していることが原因

対応