Syslog im internen Speicher durcheinander gewirbelt

[Jirka]

Hallo zusammen,

bei der Sortierung der Syslog-Daten mit 'neueste Nachrichten zuerst' kommt es im Laufe des Betriebs aus mir unbekannten Gründen immer wieder zu einer Situation, wo die Reihenfolge der Syslog-Nachrichten im internen Speicher des Gerätes durcheinander gewirbelt wird. Das Problem begegnet mir seit Monaten. Anfangs dachte ich, dass ein Löschen aller Syslog-Nachrichten Abhilfe bringt, das ist auch kurzfristig der Fall, aber irgendwann geht das wieder los. Was die Auslöser dafür sind, kann ich nicht genau sagen, vermute aber Abstürze oder Neustarts oder Fehler im Dateimanagement, die dazu führen, dass die Reihenfolge durcheinander ist und gewisse Nachrichten auch fehlen, weil sie nicht der Reihenfolge nach (FIFO) rausaltern.
Das Bild, was sich nach einer gewissen Betriebszeit einstellt, ist wie folgt:
Die ersten Zeilen sind aktuelle Syslog-Meldungen. Diese hören ca. bei Zeile 80 bis 120 auf. Dann folgt ein kurzer Abschnitt von etwas älteren Daten, z. B. von vor einer Woche, dies sind aber meist nur 1 bis 10 Zeilen. Anschließend folgen mind. 14 Tage alte Daten, die bis ca. in die Zeile 22600 gehen (da sind sie natürlich noch älter als 14 Tage). Von da an kommen plötzlich wieder eine Woche alte Daten, die dann in den letzten Zeilen von älteren Daten des heutigen oder gestrigen Tages abgeschlossen werden. Kurzum eben ein Durcheinander, wobei das größte Problem die fehlenden Syslog-Daten der kürzeren Vergangenheit sind, die alten sind hingegen noch da.
Der von mir beschriebene Zustand ist natürlich abhängig vom jeweiligen Aufkommen an Syslog-Nachrichten (also der Menge) und kann individuell immer unterschiedlich ausfallen. Es handelt sich um ein Beispiel.
Das Syslog-Modul ist wie folgt konfiguriert: Alle Quellen (Facilitys) bis auf Router werden mit allen Prioritäten (Severitys) bis auf Debug geloggt. Beim Router sind es alle Prios bis auf Information und Debug, also kurzum:

Code: Alles auswählen

Idx.  IP-Address       Source  Level   Loopback-Addr.
-------------------------------------------------------
0001  127.0.0.1        7f      0f      INTRANET
0002  127.0.0.1        80      07      INTRANET

Firmware ist aktuell die 9.10.0486, aber das Problem tritt, wie schon geschrieben, bereits seit längerem auf.

Falls jemand ähnliche Beobachtungen gemacht hat, würde mich interessieren, ob das Problem auch mit den Default-Einstellungen des Syslog-Moduls auftritt.

Vielen Dank und viele Grüße,
Jirka

[kirdes]

Hallo Jirka,

ja das gleiche ist mir bei einem R800A aufgefallen. Die ersten ca. 20 Meldungen sind aktuell, dann kommt eine große Anzahl die vom 30.11. ist und dann geht es weiter zeitlich korrekt absteigend.

Am syslog Modul habe ich nichts geändert (außer die Sortierung auf "aktuellste oben" zu ändern)

[Jirka]

Hallo kirdes,

danke für die Rückmeldung und die Angabe Deiner Syslog-Konfig. Dann bin ich jetzt immerhin schon nicht mehr alleine mit dem Problem.

Viele Grüße,
Jirka