Nhật ký hệ thống trong Mac OSX 10.6

Một cái gì đó đang lấp đầy các tệp nhật ký hệ thống của tôi, đến mức console.app sẽ chỉ hiển thị nửa giờ cuối của mỗi tệp. Có vẻ như có thứ gì đó đang cố thoát khỏi hộp cát của nó, nhưng tôi không chắc chính xác là gì ... Tôi nhận được NHIỀU tin nhắn lặp đi lặp lại như sau:

Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny file-read-data /private/var/log/asl/StoreData
Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny mach-task-name
Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny file-read-data /private/var/log/asl/StoreData
Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny mach-task-name
Feb  3 00:29:59: --- last message repeated 1 time ---
Feb  3 00:29:57 Brians-mini sandboxd[16]: *** process 16 exceeded 500 log message per second limit  -  remaining messages this second discarded ***
Feb  3 00:29:57 Brians-mini sandboxd[16]: syslogd(15) deny mach-task-name
Feb  3 00:30:00: --- last message repeated 499 times ---
Feb  3 00:29:58 Brians-mini sandboxd[16]: *** process 16 exceeded 500 log message per second limit  -  remaining messages this second discarded ***
Feb  3 00:29:58 Brians-mini sandboxd[16]: syslogd(15) deny mach-task-name

Chỉnh sửa để thêm:

Giám sát hoạt động nói rằng sandboxd đang chiếm 60% cpu và syslogd chiếm tới 120%. Bây giờ, tôi cho rằng đó là bộ xử lý PER (Tôi thuộc bộ đôi lõi 2) Nhưng đó vẫn là rất nhiều cpu TUYỆT VỜI cho hai quá trình đó ...

EDIT: var / log / asl theo yêu cầu:

drwxr-xr-x  25 root     wheel       850 Jan  6 06:41 ./
drwxr-xr-x  47 root     wheel      1598 Feb  4 15:16 ../
-rw-r-----   1 root     admin     11414 Jan  4 11:49 2010.01.04.U0.G80.asl
-rw-------   1 root     wheel       874 Jan  4 09:41 2010.01.04.U0.asl
-rw-------   1 acordex  wheel     43862 Jan  4 17:53 2010.01.04.U501.asl
-rw-r--r--   1 root     wheel     44614 Jan  4 23:42 2010.01.04.asl
-rw-r-----   1 root     admin  10241494 Jan  5 16:53 2010.01.05.U0.G80.asl
-rw-------   1 acordex  wheel    669585 Jan  5 18:11 2010.01.05.U501.asl
-rw-r--r--   1 root     wheel    772889 Jan  5 23:42 2010.01.05.asl
-rw-r-----   1 root     admin      9731 Jan  6 18:54 2010.01.06.U0.G80.asl
-rw-------   1 acordex  wheel    404532 Jan  6 18:50 2010.01.06.U501.asl
-rw-r--r--   1 root     wheel    838013 Jan  6 18:53 2010.01.06.asl
-rw-r-----   1 root     admin     52896 Sep 24 18:20 BB.2010.09.30.U0.G80.asl
-rw-r--r--   1 root     wheel     50908 Sep 29 10:30 BB.2010.09.30.asl
-rw-r-----   1 root     admin     58875 Oct 30 11:18 BB.2010.10.31.U0.G80.asl
-rw-r--r--   1 root     wheel     46188 Oct 30 17:41 BB.2010.10.31.asl
-rw-r-----   1 root     admin     10322 Nov  5 18:21 BB.2010.11.29.U0.G80.asl
-rw-r--r--   1 root     wheel      2159 Nov  4 17:21 BB.2010.11.29.asl
-rw-r-----   1 root     admin      6586 Nov  9 14:06 BB.2010.11.30.U0.G80.asl
-rw-r--r--   1 root     wheel     23147 Nov 25 16:36 BB.2010.11.30.asl
-rw-r-----   1 root     admin     21686 Dec 16 19:06 BB.2010.12.31.U0.G80.asl
-rw-r--r--   1 root     wheel     36951 Dec 23 18:32 BB.2010.12.31.asl
-rw-r--r--   1 root     wheel      2584 Jan  6 16:49 BB.2011.01.31.asl
-rw-r--r--   1 root     wheel        12 Jan  6 18:54 StoreData
-rw-r--r--   1 root     wheel         8 Jan  6 16:59 SweepStore

Có vẻ như syslogdchính nó đã gây ra sự cố - nó bị tách khỏi các tệp dữ liệu của nó, vì vậy khi nó cố truy cập vào chúng, nó sẽ phát sinh lỗi hộp cát, điều này khiến syslogdnó cố gắng lấy lại các tệp của nó. .. và điều này lặp đi lặp lại càng nhanh càng tốt syslogdvà sandboxdcó thể đi.

Kiểm tra nội dung của /System/Library/LaunchDaemons/com.apple.syslogd.plist(mục launchd kiểm soát cách khởi chạy syslogd). Nó nên có một phần như thế này:

    <key>ProgramArguments</key>
    <array>
<!--
    Un-comment the following lines to run syslogd with a sandbox profile.
    Sandbox profiles restrict processes from performing unauthorized
    operations; so it may be necessary to update the profile
    (/usr/share/sandbox/syslogd.sb) if any changes are made to the syslog
    configuration (/etc/syslog.conf).
-->
<!--
        <string>/usr/bin/sandbox-exec</string>
        <string>-f</string>
        <string>/usr/share/sandbox/syslogd.sb</string>
-->
        <string>/usr/sbin/syslogd</string>
    </array>

Lưu ý rằng trong ví dụ trên (lấy từ máy Mac của tôi), trình bao bọc hộp cát xung quanh syslogd được nhận xét. Điều này có đúng như vậy trên máy Mac của bạn không? Nếu không, hãy thêm lại các đánh dấu nhận xét và khởi động lại syslogd(bạn có thể làm điều này với launchctl, nhưng tôi chỉ cần khởi động lại máy).

Một lưu ý khác: Tôi đã xem qua hồ sơ hộp cát /usr/share/sandbox/syslogd.sb, và nó trông (với đôi mắt thiếu kinh nghiệm của tôi) giống như nó từ chối mach-task-namevà truy cập /private/var/log/asl/StoreData- rõ ràng, Apple đã không gỡ lỗi (/ cập nhật) hồ sơ để phù hợp với những gì syslogdthực sự cần. ..

Chà, quá trình lấp đầy mọi thứ là sandboxd (quy trình 16).

Về lý do tại sao nó đăng nhập quá nhiều, chúng ta cần xem thêm thông điệp của nó để hiểu vấn đề. (Có vẻ từ đoạn trích nhỏ này giống như một số chương trình đang cố làm điều gì đó trái phép - truy cập vào tệp được chỉ định - nhưng không có nhiều thông tin ở đây.)

Hai suy nghĩ khác nhau:

1. Cố gắng xác định xem có một quy trình cụ thể được sinh ra bởi sandboxd gây ra các lỗi này không. Chạy ứng dụng Trình giám sát hoạt động và chọn "Tất cả quy trình, phân cấp" từ danh sách chọn ở đầu cửa sổ. Tìm sandboxd trong danh sách và xem nếu có bất kỳ tiến trình con nào trong đó - các tiến trình con sẽ được thụt lề.

2. Các mesages log đề cập đến / private / var / log / asl. Nhìn vào các trang man cho aslmanagervà asl.conf(tệp cấu hình cho aslmanager). Có một cài đặt trong tệp cấu hình cho mức ghi nhật ký. Có lẽ điều này đã bị va chạm đến một mức độ chi tiết hơn.

Điều này xảy ra khi bạn khởi động vào chế độ an toàn?

Nó có xảy ra ở người dùng khác không?

Có bất kỳ khách hàng tiềm năng trong console.log?

Bạn có thể dán kết quả của ls -la /private/var/log/asl/- có lẽ một cái gì đó không ổn ở đó.

Bạn đã sửa đổi /System/Library/LaunchDaemons/com.apple.aslmanager.plisthay/private/etc/asl.conf

Bạn sẽ có thể thấy các mục trở lại sau 7 ngày trong 10.6 trong syslog bằng cách sử dụng syslog | grep -v sandboxd | grep -v "last message repeated" | tail -n 100Điều đó sẽ hiển thị cho bạn 100 mục không phải hộp cát cuối cùng trong ASL. Có lẽ điều đó sẽ cho bạn manh mối về những gì khác đang diễn ra.

Nếu nó được lấp đầy nhanh đến mức ASL sẽ đạt kích thước tối đa rất nhanh, bạn có thể thử tăng kích thước mà cơ sở dữ liệu ASL có thể phát triển tạm thời bằng max_store_size trong /private/etc/asl.confThông tin thêm trên trang man . Làm điều đó và sau đó chạy lệnh syslog ở trên có thể mang lại một số thông tin nhật ký hữu ích.