Hallo Community,
ich habe jetzt schon öfter folgendes Problem: mein HA Slave (zum Glück nicht Master) hängt sich auf:
kernel: [zone: pf states] PF states limit reached
Damit ist kein Zugriff mehr via LAN möglich. Konsole geht noch.
dmesg ist leider nicht hilfreich, da keine TimeStamps gelogt werden, sieht aber beim überfliegen in Ordnung aus.
/var/log/systemlog meldet dutzende Fehler, dass der rsyslog server nicht erreichbar ist, sowie keine FQDN Aliases mehr aufgelöst werden können. Ich vermute, das dies nicht mehr geht, weil das PF States Limit erreicht ist. Mehr lässt sich nicht erfahren, da das log aufhört bzw nichts anderes vermeldet.
Ich weiß gerade nicht, wie ich dem Problem auf die Schliche kommen soll. Als erstes habe ich jetzt das Update auf 20.7.4 installiert (Vorher 20.7.3) und den rsyslog daemon gestopt.
System Config und Hardware ist identisch zum Master (hat noch 20.7.3), der hat keine Probleme. Auf dem Slave läuft auch nichts aktives, solange er slave ist.
Master:
State table size
0 % ( 13161/3262000 )
MBUF Usage
0 % ( 10778/2033178 )
Memory usage
4 % ( 1612/32628 MB )
Slave (nach reboot allerdings):
State table size
0 % ( 13171/3262000 )
MBUF Usage
0 % ( 9696/2033050 )
Memory usage
6 % ( 1969/32626 MB )
Wie man sieht, ist die Hardware mehr als potent mit 32GB RAM und Intel E-2226G (6core 3,4GHz) ausgestattet.
Es sind keine besonderen Plugins aktiv. Suricata ist aktiv, aber nur im IDS Mode. Habe ich vor dem letzten Ausfall auf dem Slave auch deaktiviert. Ich möchte behaupten: weitest gehend alles Standard.
Puh.. ich hoffe jemand hat einen Hinweis wo ich noch nach Fehlern schauen kann, danke!
Firewall : Settings : Advanced ... schon mal die Werte erhöht?
Nein die Werte habe ich noch nicht erhöhrt. Aber ist das denn wirklich notwenig? Nicht mal der Master erreicht ansatzweise das Limit.
Gibt es da einen Richtwert, der bspw. an den RAM gekoppelt ist?
Note: Leave this blank for the default. On your system the default size is: 3262000
Ich habe den Wert jetzt um 50% erhöht auf 4893000. Ich werde es beobachten.
Gibt es eigentlich einen Weg, das /var/log/syslog auch via rsyslog an ein Remote Server zu senden?
Wieso sollte das nicht gehen? Via Log / Targets halt
Da habe ich schon alles aktiv, was sich anklicken lässt (bis auf filter, das ist zuviel overhead).
Das /var/log/syslog wird nicht remote übertragen.
Du meinst /var/log/system.log .. korrekt?
genau!
Moin,
also ich habe am Freitag späten Nachmittag wieder das Problem gehabt: der Slave geht offline und die Konsole ist zugespamt mit "PF States limit reached".
Ich finde den Fehler nicht. Den States Limit habe ich schon um 50% erhöht und halte es auch für utopisch dieses Limit jemals zu erreichen, da selbst der Master mit allen aktiven Verbindungen nicht mal 1% ausnutzt.
Da mein /var/log/syslog nicht weit genug zurückreicht, bzw. ich es nicht via rsyslog nach extern schicken kann, finde ich dort keinen Ansatz. DMSG wegen fehlendem Timestamp auch nicht.
Neustes Update ist auch schon installiert. Vielleicht bleibt mir nur eine Neuinstallation, da ich zur Zeit total ratlos bin.
Du kannst circular Log deaktivieren, dann hast du alles so lange wie du magst
Ich will mal kurz Bescheid geben: ich VERMUTE, dass das agressivere Timing in diesem Fall geholfen hat.
Firewall: Settings: Advanced: Firewall Optimization auf "aggressive"
Mittlerweile 17d Uptime ohne Vorkommnisse.
Cool, danke für das Feedback :)