flowd.log wird nicht rotiert und schreibt partition voll

[eell]

Hallo zusammen,

auf einer von 3 Opnsense-Installationen wächst flowd.log bis die Platte voll ist.
OPNsense 19.1.9-amd64 auf einem ESXi-Server mit 3 Interfaces (DMZ + 2x LAN), NAT auf DMZ-Interface und IPS aktiviert.

Nach einem reboot mit gelöschten flowd.log* und leerem /var/netflow läuft alles normal mit laufendem flowd und flowd_aggregate.py. Nach einigen Minuten beginnt flowd.log mit einigen kB/Minute zu wachsen. Irgendwann plötzlich beansprucht flowd_aggregate.py 100% eines cores und flowd.log wächst mit >10MB/Minute bis die Partition voll ist, dabei wird auch nicht mehr rotiert.

Auf 2 anderen Opnsense-Gateways (1 externe fw mit IPS, 1 reines VPN-Gateway) habe ich das Problem nicht.

Hat jemand einen Tipp wie man flowd_aggregate.py genauer auf die Finger sehen kann (Debug-Log, o.ä.)?

Edit:
Mit deaktiviertem IDS/IPS verhält sich das fast so wie es soll - die flowd.log-Files werden rotiert, sind aber meist noch > 10 MB groß.

Ist das normal, dass flowd_aggregate.py mit aktiviertem IDS so viel Rechenzeit benötigt? Oder habe ich zuviele IDS-Rulesets aktiviert?

  PID USERNAME       THR PRI NICE   SIZE    RES STATE   C   TIME    WCPU COMMAND
24835 root             1 102    0 36572K 32208K CPU3    3 143:23 100.39% python2.7
78080 root             7  20    0  1759M   359M nanslp  1   0:48   1.24% suricata

[9axqe]

Es ist in 23.7.1_3 immer noch so scheinbar, ich habe geschafft ein 48GB grosse flowd.log zu haben:

Code Select Expand


root@:/var/log # du -sch *
51K    acmeclient
232K    audit
512B    boot.log
35M    configd
33M    ddclient
11M    dhcpd
97K    dmesg.today
85K    dmesg.yesterday
171G    filter
1.0M    firewall
48G    flowd.log
10M    flowd.log.000001
10M    flowd.log.000002
10M    flowd.log.000003
10M    flowd.log.000004