Logs do sistema no Mac OSX 10.6

6

Algo está preenchendo meus arquivos de log do sistema, ao ponto em que console.app mostrará apenas a última meia hora de cada arquivo. Parece que algo está tentando escapar de sua sandbox, mas não sei exatamente o que ... Estou recebendo MUITAS mensagens repetidas que parecem:

Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny file-read-data /private/var/log/asl/StoreData
Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny mach-task-name
Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny file-read-data /private/var/log/asl/StoreData
Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny mach-task-name
Feb  3 00:29:59: --- last message repeated 1 time ---
Feb  3 00:29:57 Brians-mini sandboxd[16]: *** process 16 exceeded 500 log message per second limit  -  remaining messages this second discarded ***
Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny mach-task-name
Feb  3 00:30:00: --- last message repeated 499 times ---
Feb  3 00:29:58 Brians-mini sandboxd[16]: *** process 16 exceeded 500 log message per second limit  -  remaining messages this second discarded ***
Feb  3 00:29:58 Brians-mini sandboxd[16]: syslogd(15) deny mach-task-name

Editar para adicionar:

O monitor de atividades informa que o sandboxd está consumindo 60% de cpu e o syslogd está consumindo 120%. Agora, eu suponho que é o processador PER (eu estou em um duo de core 2) Mas isso ainda é uma grande quantidade de CPU para esses dois processos ...

EDIT: var / log / asl como por solicitação:

drwxr-xr-x  25 root     wheel       850 Jan  6 06:41 ./
drwxr-xr-x  47 root     wheel      1598 Feb  4 15:16 ../
-rw-r-----   1 root     admin     11414 Jan  4 11:49 2010.01.04.U0.G80.asl
-rw-------   1 root     wheel       874 Jan  4 09:41 2010.01.04.U0.asl
-rw-------   1 acordex  wheel     43862 Jan  4 17:53 2010.01.04.U501.asl
-rw-r--r--   1 root     wheel     44614 Jan  4 23:42 2010.01.04.asl
-rw-r-----   1 root     admin  10241494 Jan  5 16:53 2010.01.05.U0.G80.asl
-rw-------   1 acordex  wheel    669585 Jan  5 18:11 2010.01.05.U501.asl
-rw-r--r--   1 root     wheel    772889 Jan  5 23:42 2010.01.05.asl
-rw-r-----   1 root     admin      9731 Jan  6 18:54 2010.01.06.U0.G80.asl
-rw-------   1 acordex  wheel    404532 Jan  6 18:50 2010.01.06.U501.asl
-rw-r--r--   1 root     wheel    838013 Jan  6 18:53 2010.01.06.asl
-rw-r-----   1 root     admin     52896 Sep 24 18:20 BB.2010.09.30.U0.G80.asl
-rw-r--r--   1 root     wheel     50908 Sep 29 10:30 BB.2010.09.30.asl
-rw-r-----   1 root     admin     58875 Oct 30 11:18 BB.2010.10.31.U0.G80.asl
-rw-r--r--   1 root     wheel     46188 Oct 30 17:41 BB.2010.10.31.asl
-rw-r-----   1 root     admin     10322 Nov  5 18:21 BB.2010.11.29.U0.G80.asl
-rw-r--r--   1 root     wheel      2159 Nov  4 17:21 BB.2010.11.29.asl
-rw-r-----   1 root     admin      6586 Nov  9 14:06 BB.2010.11.30.U0.G80.asl
-rw-r--r--   1 root     wheel     23147 Nov 25 16:36 BB.2010.11.30.asl
-rw-r-----   1 root     admin     21686 Dec 16 19:06 BB.2010.12.31.U0.G80.asl
-rw-r--r--   1 root     wheel     36951 Dec 23 18:32 BB.2010.12.31.asl
-rw-r--r--   1 root     wheel      2584 Jan  6 16:49 BB.2011.01.31.asl
-rw-r--r--   1 root     wheel        12 Jan  6 18:54 StoreData
-rw-r--r--   1 root     wheel         8 Jan  6 16:59 SweepStore
    
por Brian Postow 04.02.2010 / 16:38

4 respostas

5

Parece-me que syslogd está a causar o problema - foi retirado dos ficheiros de dados, pelo que, quando tenta aceder, gera um erro da caixa de areia, que é entregue a syslogd , que o desencadeia para tentar recuperar seus arquivos novamente ... e isso se repete tão rápido quanto syslogd e sandboxd podem ir.

Verifique o conteúdo de /System/Library/LaunchDaemons/com.apple.syslogd.plist (o item de inicialização que controla como o syslogd é iniciado). Deve ter uma seção como esta:

    <key>ProgramArguments</key>
    <array>
<!--
    Un-comment the following lines to run syslogd with a sandbox profile.
    Sandbox profiles restrict processes from performing unauthorized
    operations; so it may be necessary to update the profile
    (/usr/share/sandbox/syslogd.sb) if any changes are made to the syslog
    configuration (/etc/syslog.conf).
-->
<!--
        <string>/usr/bin/sandbox-exec</string>
        <string>-f</string>
        <string>/usr/share/sandbox/syslogd.sb</string>
-->
        <string>/usr/sbin/syslogd</string>
    </array>

Observe que no exemplo acima (tirado do meu Mac), o wrapper do sandbox em torno do syslogd está comentado. É a mesma verdade no seu Mac? Se não, adicione novamente os marcadores de comentário e reinicie o syslogd (você pode fazer isso com launchctl , mas eu acabei de reinicializar a máquina).

Outra observação: dei uma olhada no perfil do sandbox, /usr/share/sandbox/syslogd.sb , e parece (para meus olhos inexperientes) como nega mach-task-name e acesso a /private/var/log/asl/StoreData - aparentemente, a Apple não depurou (/ atualizado) o perfil para corresponder ao que syslogd realmente precisa ...

    
por 05.02.2010 / 02:27
1

Bem, o processo de encher as coisas é sandboxd (processo 16).

Quanto ao motivo do registro, precisaríamos ver mais mensagens para entender o problema. (Parece que esse pequeno trecho de código está tentando fazer algo não autorizado - acessar o arquivo especificado - mas não há muita informação aqui.)

    
por 04.02.2010 / 17:06
1

Dois pensamentos diferentes:

  1. Tente identificar se há um processo específico gerado pelo sandboxd que está causando esses erros. Execute o aplicativo Activity Monitor e escolha "All Processes, Hierarchically" na lista de seleção na parte superior da janela. Encontre o sandboxd na lista e veja se há algum processo filho sob ele - os processos filhos serão recuados.

  2. As mensagens de registro mencionam / private / var / log / asl. Veja as man pages para aslmanager e asl.conf (arquivo de configuração para aslmanager). Existe uma configuração no arquivo de configuração para o nível de log. Talvez isso tenha atingido um nível mais detalhado.

por 04.02.2010 / 20:36
0

Isso acontece quando você inicializa no modo de segurança?

Isso acontece em outro usuário?

Existem ligações no console.log?

Você pode colar os resultados de ls -la /private/var/log/asl/ - talvez algo esteja errado lá.

Você modificou /System/Library/LaunchDaemons/com.apple.aslmanager.plist ou /private/etc/asl.conf

Você deve conseguir ver as entradas retornando 7 dias em 10.6 no syslog usando syslog | grep -v sandboxd | grep -v "last message repeated" | tail -n 100 . Isso mostrará as últimas 100 entradas que não são sandboxd no ASL. Talvez isso lhe dê uma pista sobre o que mais está acontecendo.

Se o preenchimento for tão rápido que o ASL está atingindo seu tamanho máximo muito rapidamente, você pode tentar aumentar o tamanho que o banco de dados ASL pode aumentar temporariamente com max_store_size em /private/etc/asl.conf Mais informações na página de manual . Fazer isso e, em seguida, executar o comando syslog acima pode gerar algumas informações de log úteis.

    
por 04.02.2010 / 21:31