Je fais tourner un serveur sur EC2 (Cent OS, 2.6.35.14, x86_64), et j'ai récemment dépassé mon quota de 1 million d'E/S par mois, ce qui est absurde, car mon utilisation du disque ne devrait pas être proche de cela. (Je n'exécute aucun service qui devrait nécessiter beaucoup d'accès au disque.... ou même aucun accès au disque)
Ma première idée a été de lancer iotop, et de voir s'il y avait des processus qui écrivaient continuellement sur le disque. iotop m'a montré qu'un processus nommé jbd2 écrivait sur le disque plus d'une fois par minute.
Après un peu de en faisant des recherches il est apparu que le problème était soit un bug du noyau, soit un daemon touchant régulièrement le disque.
J'ai installé inotify-tools et lancé un inotifywait sur l'ensemble du système de fichiers ;
sudo /usr/local/bin/inotifywait -m -r /!(dev|proc)Et ce que cela a montré, c'est que /etc/passwd est ouvert, accédé, puis fermé, plusieurs fois par minute. Sans que je fasse quoi que ce soit d'autre sur le système ! inotify ne vous dit rien. ce que fait le toucher, mais j'ai installé audit ( http://people.redhat.com/sgrubb/audit/ ), j'ai mis en place un système de journalisation sur /etc/passwd et je l'ai laissé fonctionner pendant un petit moment, puis j'ai jeté un coup d'oeil aux journaux, mais tout ce qu'ils me disent, c'est qu'il est accédé par sudo : (nom d'utilisateur censuré)
type=SYSCALL msg=audit(10/03/2011 17:48:30.493:260) : arch=x86_64 syscall=open success=yes exit=4 a0=7f809205669a a1=80000 a2=1b6 a3=0 items=1 ppid=6466 pid=6467 auid=**** uid=root gid=**** euid=root suid=root fsuid=root egid=**** sgid=**** fsgid=**** tty=pts0 ses=79 comm=sudo exe=/usr/bin/sudo key=(null)
type=SYSCALL msg=audit(10/03/2011 17:48:30.493:261) : arch=x86_64 syscall=open success=yes exit=4 a0=7f809205669a a1=80000 a2=1b6 a3=0 items=1 ppid=6466 pid=6467 auid=**** uid=root gid=**** euid=root suid=root fsuid=root egid=**** sgid=**** fsgid=**** tty=pts0 ses=79 comm=sudo exe=/usr/bin/sudo key=(null)
type=SYSCALL msg=audit(10/03/2011 17:48:30.488:256) : arch=x86_64 syscall=open success=yes exit=3 a0=7f809205669a a1=80000 a2=1b6 a3=0 items=1 ppid=6441 pid=6466 auid=**** uid=**** gid=**** euid=root suid=root fsuid=root egid=**** sgid=**** fsgid=**** tty=pts0 ses=79 comm=sudo exe=/usr/bin/sudo key=(null)
...Y a-t-il un moyen d'affiner la recherche ? Je n'ai rien dans mes fichiers cron, et aucun autre service auquel je pense qui pourrait causer ce problème :
chkconfig | grep on
atd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
cgconfig 0:off 1:off 2:off 3:off 4:off 5:off 6:off
cloud-init 0:off 1:off 2:on 3:on 4:on 5:on 6:off
cloud-init-user-scripts 0:off 1:off 2:on 3:on 4:on 5:on 6:off
conman 0:off 1:off 2:off 3:off 4:off 5:off 6:off
crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
irqbalance 0:off 1:off 2:off 3:on 4:on 5:on 6:off
lvm2-monitor 0:off 1:on 2:on 3:on 4:on 5:on 6:off
mdmonitor 0:off 1:off 2:on 3:on 4:on 5:on 6:off
netconsole 0:off 1:off 2:off 3:off 4:off 5:off 6:off
netfs 0:off 1:off 2:off 3:on 4:on 5:on 6:off
network 0:off 1:off 2:on 3:on 4:on 5:on 6:off
ntpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
restorecond 0:off 1:off 2:off 3:off 4:off 5:off 6:off
rsyslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sendmail 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
udev-post 0:off 1:on 2:on 3:on 4:on 5:on 6:off
yum-updatesd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
0 votes
Que vous dit le sudolog ? Vous pouvez l'activer et ensuite mettre à jour le message avec le résultat.
0 votes
Je ne connais pas la réponse, mais puis-je m'arrêter pour faire l'éloge de la question ? Je n'ai pas vu récemment un exemple plus clair des vertus de "How to ask questions the smart way" d'esr ; j'aimerais que toutes les questions sur la SF soient aussi bien rédigées.