Syslog-analyse: Hukommelsesproblemer

En servers ydeevne afhænger også af dens hukommelse. Når RAM'en og swap-pladsen er fuld, løber serveren tør for hukommelse. Kernens næste reaktion ville være at dræbe den proces, der bruger meget hukommelse. OOM-killeren (Out Of Memory) er den mekanisme, som kernen bruger til at gendanne hukommelse på systemet. Det primære mål med OOM-killeren er at dræbe det mindste antal processer, samtidig med at maksimere hukommelsespladsen. Som et resultat dræber den først den proces, der bruger mest hukommelse.

Når en kritisk proces skal startes, og den kræver mere hukommelse end der er tilgængelig, begynder kernen at afslutte processer og registrerer disse hændelser med strenge som "Ikke mere hukommelse" i logdataene.

Forekomsten af ​​sådanne hændelser indikerer, at serveren afsluttede processen med vilje for at frigøre hukommelse.

Ved fejlfinding af hukommelsesproblemer er det vigtigt at identificere sådanne hændelser, da de hjælper dig med at forstå, hvilken proces der forårsagede hukommelsesproblemet.

Her er nogle eksempler på logdata, der indikerer hukommelsesproblemer

Jan 3 21:30:26 ip-172-31-34-37 kernel: [ 1575.404070] Out of memory: Kill process 16471 (memkiller) score 838 or sacrifice child
Jan 3 21:30:26 ip-172-31-34-37 kernel: [ 1575.408946] Killed process 16471 (memkiller) total-vm:144200240kB, anon-rss:562316kB, file-rss:0kB, shmem-rss:0kB Jan 3 21:30:27 ip-172-31-34-37 kernel: [ 1575.518686] oom_reaper: reaped process 16471 (memkiller), now anon-rss:0kB, file-rss:0kB, shmem-rss:0kB

Hukommelsesproblemer kan løses ved at analysere de logfiler, der er gemt i kerne-loggen /var/log/kern.log eller i syslog /var/log/syslog-lokationen. Du kan manuelt analysere alle logfilerne ved hjælp af grep-kommandoen og finde årsagen til hukommelsesproblemet. Men det kræver hukommelse at udføre grep-kommandoen. Derfor anbefales det at gemme alle syslogfiler centralt på en separat server og udføre analysen. Du kan manuelt gruppere processerne og konfigurere, hvilken proces der skal afsluttes først, og hvilken afgørende proces der skal holdes kørende. Dette er dog en tidskrævende proces, da antallet af genererede logfiler vil være højt.

Alternativt kan du bruge en omfattende loghåndteringsløsning, f.eks. EventLog Analyzer, til at centralisere alle dine syslogs og automatisk analysere dem for at få bedre indsigt. Løsningen tilbyder realtidsalarmer og foruddefinerede rapporter for lav diskplads, advarselshændelser, informationshændelser osv.

En loghåndteringsløsning kan konfigureres til at udløse en alarm, når systemet løber tør for hukommelse. Dette vil hjælpe dig med at handle øjeblikkeligt, så afgørende processer kan fortsættes.

Se, hvordan EventLog Analyzer kan hjælpe med at finde og løse problemer med hukommelse i netværket. Med over 300 foruddefinerede alarmkriterier kan EventLog Analyzer hurtigt identificere sikkerhedshændelser og sende SMS- eller e-mail-meddelelser i realtid til administratorerne.

Hvad så nu?