iptables のログで dmesg を埋めないよう ulogd 経由で syslog に

iptablesのログ出力でdmesgが埋め尽くされると困るので、NFLOGエクステンションを用いて、ulogd経由でsyslogにログを吐くようにしてみた

/etc/ulogd.conf

[global]
logfile="/var/log/ulogd.log"
loglevel=5
rmem=131071
bufsize=150000

plugin="/usr/lib/ulogd/ulogd_inppkt_NFLOG.so"
plugin="/usr/lib/ulogd/ulogd_inpflow_NFCT.so"
plugin="/usr/lib/ulogd/ulogd_raw2packet_BASE.so"
plugin="/usr/lib/ulogd/ulogd_filter_IP2STR.so"
plugin="/usr/lib/ulogd/ulogd_filter_PRINTPKT.so"
plugin="/usr/lib/ulogd/ulogd_output_LOGEMU.so"
plugin="/usr/lib/ulogd/ulogd_filter_IFINDEX.so"
plugin="/usr/lib/ulogd/ulogd_output_SYSLOG.so"

stack=log1:NFLOG,base1:BASE,ifi1:IFINDEX,ip2str1:IP2STR,print1:PRINTPKT,emu1:LOGEMU
stack=log2:NFLOG,base1:BASE,ifi1:IFINDEX,ip2str1:IP2STR,print1:PRINTPKT,sys1:SYSLOG

[log1]
group=1

[log2]
group=2
numeric_label=1

[emu1]
file=/var/log/ulogd.syslogemu

iptablesの-j LOGな設定も以下のように変更

/bin/iptables -A KZ_DENY -j NFLOG --nflog-prefix="[Kazakhstan] " --nflog-group 2

今回はgroup2としてsyslogで吐かせているが、そこは自由にするとよいだろう

メモメモ

Tweaking:

The Zend MM can be tweaked using ZEND_MM_MEM_TYPE and ZEND_MM_SEG_SIZE environment variables. Default values are “malloc” and “256K”. Dependent on target system you can also use “mmap_anon”, “mmap_zero” and “win32” storage managers.

rsync コマンドの append オプションを resume に使うのは危ない

rsync  には--appendオプションがありますが、3.0.0からは挙動が変わっているようで、 append の動作を高速化するためにchecksumを取らなくなったようです。

3.0.0より前の --append と同じような挙動が必要な場合は、 --append-verify を使っておかないと、とてもひどい目にあうでしょう。

ですが、そもそも --append オプションは名前の通り追記するためのものであり、いろんなサイトで見かけるようなファイル転送のレジュームとは直接関係なく、不用意に使ってはいけません。

 

以下はrsyncのmanより

The use of --append can be dangerous if you aren't 100% sure that the files that are
longer have only grown by the appending of data onto the end. You should thus use
include/exclude/filter rules to ensure that such a transfer is only affecting files
that you know to be growing via appended data.

ルートアール USB to 5.1chオーディオアダプタ [RA-AUD51] S/PDIF Dolby Digital/DTS パススルー

ルートアールのUSB to 5.1chオーディオアダプターを購入して、Windows7 64bitでつかおうと思ったんだけど、
付属のドライバではPowerDVDでS/PDIF出力のDTS/Dolby Digitalのパススルー出力が得られませんでした。

中を開けてみたところ、C-MediaのCM6206-LXというチップを使っているのがわかったので、
他社の製品のドライバをいろいろ試してみたところ、

http://ppa-usa.com/computer-products/sound-cards/6-channel-premium-external-usb-sound.html

のドライバ類を使うといけました、というメモ。

CentOS Source Repository


* CentOSのソースパッケージは http://vault.centos.org にあります
* CentOS上でソースパッケージを取得したいときは、yum-utilsパッケージに含まれる yumdownloaderを使うのが便利です
*
[base-src]
name=CentOS-6.6 - Base - Source
baseurl=http://vault.centos.org/6.6/os/Source/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

[updates-src]
name=CentOS-6.6 - Updates - Source
baseurl=http://vault.centos.org/6.6/updates/Source/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

[extras-src]
name=CentOS-6.6 - Extras - Source
baseurl=http://vault.centos.org/6.6/extras/Source/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

* yumdownloader –source httpd

zfs on linux


==== zpoolにくべるデバイス名について ====
* /dev/disk/by-id/* にしておくのが吉
* /dev/sdc とかでやってると、デバイス名が変わった時に悲しい思いをします
==== 付け替えたい場合 ====
*
$ sudo zpool export tank
$ sudo zpool import -d /dev/disk/by-id tank

directory quota on xfs filesystem


====== XFSファイルシステムにて、ディレクトリに対してQuota制限をかけたときのメモ ======
* XFSファイルシステムはディレクトリ単位でQuotaを設定することができます
* プロジェクトクォータというもので設定します
* プロジェクトクォータはグループクォータと同時に使用することはできません
* 設定
* ファイルシステムを pquotaオプション付きでマウントします
* /etc/projects と /etc/projid で マッピングを行います
* /etc/projects50:/data
* /etc/projidvirtual:50
* 次のように、同じProjectIDをもつものも設定できるようです50:/data/test1
50:/data/test2

* Grace Periodは次のように設定しますxfs_quota -x -c 'timer -p -b 1minutes'
* minutes(m), hours(h), days(d), weeks(w) を認識します
* Projectを設定しますxfs_quota -x -c 'project -s virtual'
* Project virtualに、使用量Quotaを設定
xfs_quota -x -c 'limit -p bsoft=1000m bhard=1200m virtual' /data

* 確認
* quota設定状態の出力[root@rc97 data]# xfs_quota -x -c 'state' /data
User quota state on /data (/dev/mapper/vg0-lv0)
Accounting: OFF
Enforcement: OFF
Inode: #18446744073709551615 (0 blocks, 0 extents)
Group quota state on /data (/dev/mapper/vg0-lv0)
Accounting: OFF
Enforcement: OFF
Inode: #131 (2 blocks, 2 extents)
Project quota state on /data (/dev/mapper/vg0-lv0)
Accounting: ON
Enforcement: ON
Inode: #131 (2 blocks, 2 extents)
Blocks grace time: [7 days 00:00:30]
Inodes grace time: [7 days 00:00:30]
Realtime Blocks grace time: [7 days 00:00:30]

* ユーザーコマンドでの確認[root@rc97 test2]# xfs_quota -c 'quota -v -p virtual' /data
Disk quotas for Project virtual (50)
Filesystem Blocks Quota Limit Warn/Time Mounted on
/dev/mapper/vg0-lv0 8 51200 102400 00 [--------] /data

* リポートを出力[root@rc97 data]# xfs_quota -x -c 'report -p' /data
Project quota on /data (/dev/mapper/vg0-lv0)
Blocks
Project ID Used Soft Hard Warn/Grace
---------- --------------------------------------------------
virtual 0 51200 102400 00 [--------]

* 使用量はsyncされてないと出力に反映されないようですね
* xfs_quotaコマンド
* -x で エキスパートモード
* 例: xfs_quota -x -c 'report -h' /data
* project -c (Checking)
* project -C (Clearing)
* project -s (Setting)

git memo

過去のコミットふくめて検索する
git grep $(git rev-list –all)

docker 0.7.2


* docker 0.7.2 がリリースされました
* https://github.com/dotcloud/docker/blob/master/CHANGELOG.md
* 以下の変更がはいったそうなので、追いかけてみました
* Drop capabilities from within dockerinit
* https://github.com/dotcloud/docker/pull/3015
* Set hostname and IP address from within dockerinit
* https://github.com/dotcloud/docker/pull/3201
* いままで、config.lxcで行っていた、Linux Capabilityのdropを、dockerinitで行うようになったようです。lxcのテンプレートからCapabilityの設定が消え、dockerinitコマンド内部でcapabilityのdropが行われるようになりました。
* それに伴い、ネットワークの設定とホスト名の設定も、dockerinitで行うようになったようです。dockerinitに引数でわたすようになりました。
* container.go

// Networking
if !container.Config.NetworkDisabled {
network := container.NetworkSettings
params = append(params,
"-g", network.Gateway,
"-i", fmt.Sprintf("%s/%d", network.IPAddress, network.IPPrefixLen),
)
}