Multitail ferme des fichiers sans raison apparente

Bonjour,

J’utilise multitail sur un serveur dédié sous Debian 10.
Au lancement de celui-ci, je me connecte en SSH et je lance un screen sur lequel il y a plusieurs fenêtres qui affichent toujours les mêmes commandes et qui me servent à avoir un état global de la machine.
Au démarrage, je lance donc la commande suivante :

multitail -s 2 /var/log/syslog /var/log/auth.log

en tant que mon utilisateur et je le laisse tourner, même quand le screen est détaché.
La commande se lance et affiche sur l’écran coupé en deux, les journaux généraux à gauche et les journaux d’authentification à droite.
Au bout d’une durée qui peut aller entre un et quatre jours, je me retrouve avec plus qu’un seul des deux fichiers qui s’affiche sur tout l’écran, à savoir le journal d’authentification. Il est même arrivé une ou deux fois de ne plus rien avoir de fichier ouvert du tout.
Dans les journaux du noyau, je n’ai pas trouvé d’erreur évidente comme un oom_kill ou une erreur de segmentation.

Est-ce que quelqu’un a idée de ce qui provoque ça et de comment je peux corriger ?

Bonjour,
ça ne serait pas dû à la rotation de ces logs ?

Ça peut être une explication au fait que ce soit toujours les journaux généraux, dont la rotation est quotidienne, qui disparaît en premier. Par contre, la rotation est quotidienne, ça devrait donc poser problème tous les jours, mais ce n’est pas le cas.
Du coup, ce serait un comportement aléatoire, ça veut dire que ça devrait partir en rapport de bug ?

La rotation s’effectue comment ? via un copy truncate ou plus violemment ?

Aucune idée, mais je vois des fois un message qui indique que le fichier a été « truncated ».
Configuration générale de logrotate :

# see "man logrotate" for details
# rotate log files weekly
weekly

# keep 4 weeks worth of backlogs
rotate 60

# create new (empty) log files after rotating old ones
create

# use date as a suffix of the rotated file
#dateext

# uncomment this if you want your log files compressed
#compress

# packages drop log rotation information into this directory
include /etc/logrotate.d

# system-specific logs may be also be configured here.

Configuration pour le journal général :

/var/log/syslog
{
        rotate 400
        daily
        missingok
        notifempty
        delaycompress
        compress
        postrotate
                /usr/lib/rsyslog/rsyslog-rotate
        endscript
}

En règle générale on utilise le copytruncate lorsque une application n’est pas capable de recréer son fichier de log (c’est pour cette raison que par défaut d’ailleurs cette option n’est pas utilisé.

Si multitail cherche à lire le fichier de log au moment ou il y a rotation il est possible qu’il tue silencieusement l’onglet concerné.

Tu n’aurait pas plus confortable (si tu fais ça sur plusieurs machines) de mettre ne place un serveur syslog pour centraliser et taper dessus avec un ELK ?

En fait, je n’ai qu’un seul multitail et les journaux auquels il a accès sont dejà ceux qui sont remontés par tout mon parc.

C’est un afficheur de journaux en ligne de commande ? De ce que j’en vois, c’est un interpréteur Scheme, je ne vois pas bien le rapport.
Le but de multitail, dans mon cas, c’est afficher vite-fait les dernières nouvelles, si je veux faire plus de recherches, j’ouvre les journaux directement avec less dans un nouveau terminal, ce qui est assez rare.

On n’a pas la même façon de faire, je ne laisse pas de tail ouvert en permanence, j’ai un ELK qui va s’occuper de me mettre à disposition les logs au travers de Kibana pour des recherches.
Et je catch les principales erreurs dans les logs via Zabbix ou Prometheus au besoin pour les services les plus chian… à monitorer de façon classique (utilisation type de logfile sur zabbix avec des mots clés pour déclencher des triggers).

Tail je l’utilise pour effectuer mes vérification en direct lors de debug ou test.

Pour ton problème d’onglet qui disparaît par contre mise à part une indisponibilité du fichier de log pile poil au moment ou multitail cherche à remonté de l’information contenu sur celui-ci je ne vois pas.

Oui, bon, sinon, à la limite, ce n’est pas très grave, j’ai juste à le fermer et le relancer et c’est reparti pour plusieurs jours.
Je pense qu’on va dire OSEF, merci à vous deux pour vos réponses.