Как уменьшить логирование в AstraLinux?

Question

[SamDurak]

Обратил внимание на то что в Астре есть процесс systemd-journald который очень часто потребляет какое-то фантастическое количество HDD, особенно при чтении записи на диск.
ALSE 1.8.1UU2 в редакции Орёл всякого рода антивирусов нет. Как отловить проблему?
journalctl -f при операциях копирования фантастически быстро летит заполняясь однотипными записями вроде:
SYSCALL arch=c000003e syscall=119 success=yes exit=0 a0=ffffffff a1=0 a2=ffffffff a3=0 items=0 ppid=384077 pid=389824 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="smbd[192.168.81" exe="/usr/sbin/smbd" subj=0:0:0:0:0 key="parsec-p"

Answer 1

[SamDurak]

Благодарю Drno, xotkot но вопрос оказался интереснее...
Господа из Астры в очередной раз "ответственно" отнеслись к своей работе и оставили в релизе неплохое такое логирование для Parsec в файле /etc/audit/rules.d/10-parsec.rules которое вовсю работает и в редакции Орёл. Полный список того что добавлено в аудит можно глянуть командой auditctl -l в астре пакет установлен по умолчанию.
В общем когда у вас под Астрой будут в 2-3 раза быстрее заканчиваться SSD не удивляйтесь.... У меня соотношения записанных данных и логов примерно 1 к 3 (на 100 мегабайт данных, 300 мегабайт записи лога....)
Проблема решается или удалением файла /etc/audit/rules.d/10-parsec.rules или отключения правил прописанных в нём проблема фиксируется в всех релизах Астры на весну 2025 года:
-a always,exit -F subj_type=psaud -F arch=x86_64 -S creat,mkdir,mkdirat,mknod,mknodat,link,linkat,symlink,symlinkat,rename,renameat,renameat2,open,openat,rmdir,unlink,unlinkat,execve,execveat,chmod,fchmod,fchmodat,chown,fchown,lchown,fchownat,setxattr,lsetxattr,fsetxattr,removexattr,lremovexattr,fremovexattr,setuid,setreuid,setresuid,setfsuid,setgid,setregid,setresgid,setfsgid,mount,move_mount,umount2,chroot,init_module,finit_module,delete_module -k parsec-p
-a always,exit -F subj_type=psaud -F arch=i386 -S creat,mkdir,mkdirat,mknod,mknodat,link,linkat,symlink,symlinkat,rename,renameat,renameat2,open,openat,rmdir,unlink,unlinkat,execve,execveat,chmod,fchmod,fchmodat,chown,fchown,lchown,fchownat,setxattr,lsetxattr,fsetxattr,removexattr,lremovexattr,fremovexattr,setuid,setreuid,setresuid,setfsuid,setgid,setregid,setresgid,setfsgid,mount,move_mount,umount2,chroot,init_module,finit_module,delete_module -k parsec-p
-a always,exit -F obj_type=faud -F arch=x86_64 -S creat,mkdir,mkdirat,mknod,mknodat,link,linkat,symlink,symlinkat,rename,renameat,renameat2,open,openat,rmdir,unlink,unlinkat,execve,execveat,chmod,fchmod,fchmodat,chown,fchown,lchown,fchownat,setxattr,lsetxattr,fsetxattr,removexattr,lremovexattr,fremovexattr -k parsec-f
-a always,exit -F obj_type=faud -F arch=i386 -S creat,mkdir,mkdirat,mknod,mknodat,link,linkat,symlink,symlinkat,rename,renameat,renameat2,open,openat,rmdir,unlink,unlinkat,execve,execveat,chmod,fchmod,fchmodat,chown,fchown,lchown,fchownat,setxattr,lsetxattr,fsetxattr,removexattr,lremovexattr,fremovexattr -k parsec-f

Answer 2

[Drno]

/usr/sbin/smbd - так это процесс самбы... в ней и отключайте логирование

Answer 3

[xotkot]

Обратил внимание на то что в Астре есть процесс systemd-journald который очень часто потребляет какое-то фантастическое количество HDD, особенно при чтении записи на диск.

ну так ограничьте его аппетиты - Journal size limit
как вариант 1, 2

journalctl -f при операциях копирования фантастически быстро летит заполняясь однотипными записями вроде:
SYSCALL arch=c000003e syscall=119 success=yes exit=0 a0=ffffffff a1=0 a2=ffffffff a3=0 items=0 ppid=384077 pid=389824 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="smbd[192.168.81" exe="/usr/sbin/smbd" subj=0:0:0:0:0 key="parsec-p"

smbd это самба, возможно там неполадки или это его нормальное состояние при логировании, возможно даже стоит подкрутить в конфиге его log level.

что же до самого journalctl то его вывод можно фильтровать по уровням приоритета - Priority level
например
sudo journalctl -f -p err..alert