[diary ]

webminstats で大量の警告メール

サーバーの状態記録のために webminstats というソフトを動かしているのですが、このところこのソフトが発行する警告メールの数がやたらと増えてきました。こんな内容のメールが1～数分おきにじゃんじゃか送られてきます。

Subject: Cron  /etc/webmin/sysstats/sysstats.pl

WARNING : webminstats module firewall seems to long : 1.40 seconds

気が付くとメールボックスが数百件の警告メールに占領されていて、たまったものではありません。webminstats は各種の監視・計測モジュールを定期的に動かして情報収集を行っているようなのですが、一つのモジュールの処理が一定時間を超えると、異常な傾向を検出したととしてこのような警告メールを送ってくるのです。

時間がかかっているのは firewall モジュールです。調べてみると、firewall モジュールは iptables を使って状態を調べているのですが、このサーバーでは iptables を有効にしていません。おかしいと思ってさらに調べてみると、/var/log/messages から iptalbes 関係のメッセージを探していることがわかりました。どうやらここに時間がかかっているようです。というのは、最近 /var/log/messages がやたらと巨大になっているんです。1週間ごとにローテートしていると、ひとつが数MBから10数MBにも達しています。これは ssh へのアタックがログとして記録されるせいです。このところ ssh へのアタックの数が一段と増えていて、ログが巨大化しているのでした。

処理時間による警告の上限値を sysstats の config ファイルで変更することもできるのですが、iptables を使っていないのに firewall モジュールを動かしていること自体に意味がありません。そこで、firewall モジュールの config ファイルの runstop パラメータを 1 にして、このモジュールが動かないようにしました。これで余計な処理は行われず、警告メールも来なくなったようです。もしかしたら同じような現象に遭遇している人もいるかもしれないと思って書いておきます。