syslog-ng 2.0.9 мгновенно закрывает tcp-соединения от некоторых клиентов..?

Question

syslog-ng 2.0.9 мгновенно закрывает tcp-соединения от некоторых клиентов..?

У меня есть экземпляр syslog-ng на 2.0.9, который устарел, но... это ИТ-подразделение предприятия, и обновление версий... забавно... работает на Solaris 10. У меня есть странная проблема, когда некоторые клиенты перестать быть в состоянии оставаться подключенным к серверу по TCP.

Когда клиент работает, я могу запустить syslog-ng на клиенте, он подключается и отправляет данные, а STAYS подключается...

12:20:13.200547 IP (tos 0x0, ttl  64, id 13064, offset 0, flags [DF], proto: TCP (6), length: 60) 10.37.128.185.35765 > 10.37.141.31.shell: S, cksum 0xade4 (correct), 1572869826:1572869826(0) win 5840 <mss 1460,sackOK,timestamp 958735818 0,nop,wscale 7>
12:20:13.202279 IP (tos 0x0, ttl  63, id 27707, offset 0, flags [DF], proto: TCP (6), length: 64) 10.37.141.31.shell > 10.37.128.185.35765: S, cksum 0x434d (correct), 3180100791:3180100791(0) ack 1572869827 win 32942 <nop,nop,timestamp 2210148518 958735818,mss 1460,nop,wscale 2,nop,nop,sackOK>
12:20:13.202327 IP (tos 0x0, ttl  64, id 13065, offset 0, flags [DF], proto: TCP (6), length: 52) 10.37.128.185.35765 > 10.37.141.31.shell: ., cksum 0x0499 (correct), ack 1 win 46 <nop,nop,timestamp 958735820 2210148518>
12:20:13.202823 IP (tos 0x0, ttl  64, id 13066, offset 0, flags [DF], proto: TCP (6), length: 140) 10.37.128.185.35765 > 10.37.141.31.shell: P, cksum 0x179d (correct), 1:89(88) ack 1 win 46 <nop,nop,timestamp 958735820 2210148518>
12:20:13.204061 IP (tos 0x0, ttl  63, id 27708, offset 0, flags [DF], proto: TCP (6), length: 52) 10.37.141.31.shell > 10.37.128.185.35765: ., cksum 0x83d6 (correct), ack 89 win 32920 <nop,nop,timestamp 2210148518 958735820>
12:20:13.205558 IP (tos 0x0, ttl  64, id 13067, offset 0, flags [DF], proto: TCP (6), length: 124) 10.37.128.185.35765 > 10.37.141.31.shell: P, cksum 0xc071 (correct), 89:161(72) ack 1 win 46 <nop,nop,timestamp 958735823 2210148518>
12:20:13.206247 IP (tos 0x0, ttl  63, id 27709, offset 0, flags [DF], proto: TCP (6), length: 52) 10.37.141.31.shell > 10.37.128.185.35765: ., cksum 0x839d (correct), ack 161 win 32902 <nop,nop,timestamp 2210148518 958735823>

Когда клиент не может оставаться на связи, я вижу, что сервер мгновенно отключается с помощью FIN...

12:20:02.441949 IP (tos 0x10, ttl  64, id 8231, offset 0, flags [DF], proto: TCP (6), length: 60) 10.37.128.185.46121 > 10.37.141.31.shell: S, cksum 0xeb7e (correct), 1553390564:1553390564(0) win 5840 <mss 1460,sackOK,timestamp 958725059 0,nop,wscale 7>
12:20:02.443817 IP (tos 0x0, ttl  63, id 27678, offset 0, flags [DF], proto: TCP (6), length: 64) 10.37.141.31.shell > 10.37.128.185.46121: S, cksum 0xe379 (correct), 3007391908:3007391908(0) ack 1553390565 win 32942 <nop,nop,timestamp 2210147442 958725059,mss 1460,nop,wscale 2,nop,nop,sackOK>
12:20:02.443840 IP (tos 0x10, ttl  64, id 8232, offset 0, flags [DF], proto: TCP (6), length: 52) 10.37.128.185.46121 > 10.37.141.31.shell: ., cksum 0xa4c5 (correct), ack 1 win 46 <nop,nop,timestamp 958725061 2210147442>
12:20:02.445689 IP (tos 0x0, ttl  63, id 27679, offset 0, flags [DF], proto: TCP (6), length: 52) 10.37.141.31.shell > 10.37.128.185.46121: F, cksum 0x2444 (correct), 1:1(0) ack 1 win 32942 <nop,nop,timestamp 2210147442 958725061>
12:20:02.445737 IP (tos 0x10, ttl  64, id 8233, offset 0, flags [DF], proto: TCP (6), length: 52) 10.37.128.185.46121 > 10.37.141.31.shell: F, cksum 0xa4c1 (correct), 1:1(0) ack 2 win 46 <nop,nop,timestamp 958725063 2210147442>
12:20:02.447244 IP (tos 0x0, ttl  63, id 27680, offset 0, flags [DF], proto: TCP (6), length: 52) 10.37.141.31.shell > 10.37.128.185.46121: ., cksum 0x2441 (correct), ack 2 win 32942 <nop,nop,timestamp 2210147442 958725063>

Теперь эта проблема первоначально была обнаружена на разных клиентах, но в данном случае это одна и та же коробка. Я сгенерировал успешные сообщения, перезапустив клиентскую службу syslog-ng и неудачные сообщения из telnet на порт сервера.

Я также запустил новый экземпляр сервера syslog-ng на другом порту, а на локальном хосте телнет к 514 подключается и отключается...

 $ telnet localhost 514
 Trying 127.0.0.1...
 Connected to localhost.
 Escape character is '^]'.
 Connection to localhost closed by foreign host

но на другом порту, на новом процессе мы получаем соединение, оставленное открытым приятно...

 $ telnet localhost 1140
 Trying 127.0.0.1...
 Connected to localhost.
 Escape character is '^]'.
 ^]
 telnet
 quit
 Connection to localhost closed.

Таким образом, что-то в syslog-ng или в Solaris 10 кажется неприязненным к НЕКОТОРЫМ из этих подключений после неопределенного периода времени выполнения процесса. Это связано с tcpwrappers, с "syslog-ng: ALL", определенным в hosts.allow, и поведение, которое я вижу, выглядит примерно так, как если бы tcpwrappers предотвращал соединение, я думаю, но я не думаю, что это часть системы, которая виновата, как это кажется общей.

Поведение "локального узла для нового процесса" выглядит так же, как и для удаленных подключений, оно не похоже на то, как брандмауэр мешает делать странные вещи или что-то еще. И я потерян.

Любые догадки, указатели оценили!

0

tcp solaris syslog connections

Источник

Chris Phillips 05 июл '13 в 11:56

1 ответ

Решение

Другие вопросы по тегам tcp solaris syslog connections

Jenny D 05 июл '13 в 14:26 2013-07-05 14:26 · Accepted Answer · 2013-07-05 14:26

Проверить max-connections установка в syslog.conf - по умолчанию 10, что, вероятно, слишком мало для вас.

1

Источник

Jenny D 05 июл '13 в 14:26