Hallo zusammen,
auf einer von 3 Opnsense-Installationen wächst flowd.log bis die Platte voll ist.
OPNsense 19.1.9-amd64 auf einem ESXi-Server mit 3 Interfaces (DMZ + 2x LAN), NAT auf DMZ-Interface und IPS aktiviert.
Nach einem reboot mit gelöschten flowd.log* und leerem /var/netflow läuft alles normal mit laufendem flowd und flowd_aggregate.py. Nach einigen Minuten beginnt flowd.log mit einigen kB/Minute zu wachsen. Irgendwann plötzlich beansprucht flowd_aggregate.py 100% eines cores und flowd.log wächst mit >10MB/Minute bis die Partition voll ist, dabei wird auch nicht mehr rotiert.
Auf 2 anderen Opnsense-Gateways (1 externe fw mit IPS, 1 reines VPN-Gateway) habe ich das Problem nicht.
Hat jemand einen Tipp wie man flowd_aggregate.py genauer auf die Finger sehen kann (Debug-Log, o.ä.)?
Edit:
Mit deaktiviertem IDS/IPS verhält sich das fast so wie es soll - die flowd.log-Files werden rotiert, sind aber meist noch > 10 MB groß.
Ist das normal, dass flowd_aggregate.py mit aktiviertem IDS so viel Rechenzeit benötigt? Oder habe ich zuviele IDS-Rulesets aktiviert?
PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND
24835 root 1 102 0 36572K 32208K CPU3 3 143:23 100.39% python2.7
78080 root 7 20 0 1759M 359M nanslp 1 0:48 1.24% suricata
Es ist in 23.7.1_3 immer noch so scheinbar, ich habe geschafft ein 48GB grosse flowd.log zu haben:
root@:/var/log # du -sch *
51K acmeclient
232K audit
512B boot.log
35M configd
33M ddclient
11M dhcpd
97K dmesg.today
85K dmesg.yesterday
171G filter
1.0M firewall
48G flowd.log
10M flowd.log.000001
10M flowd.log.000002
10M flowd.log.000003
10M flowd.log.000004