Avamar — o tamanho de um backup de client Linux pode ser enganoso devido ao comportamento de "/var/log/lastlog" e de manuseio de arquivos fragmentamento.

O comportamento descrito neste artigo pode afetar a geração de relatórios do tamanho do backup do Avamar.
Isso é de interesse em que devemos relatar o volume de dados protegidos em um backup do Avamar. Um exemplo seria quando um prestador de serviços fatura os usuários finais pelo valor do client.

O tamanho relatado de um backup do client Linux em que /var/log/lastlog está incluído pode ser maior do que o espaço total em disco disponível para o client.

Exemplo:
Um client Linux é configurado para fazer backup apenas do diretório /var/log que contém 39 MB de dados.

root@linuxclient:~/#: du -hs /var/log
39M /var/log

O diretório /var/log e o backup contêm "lastlog",  

root@linuxclient:/var/log/#: ls -ltrhs /var/log/lastlog
48K -rw-rw-r-- 1 root root 272G Apr 30 11:46 /var/log/lastlog

Nota: o lastlog está consumindo 48 K de espaço no disco, enquanto o tamanho regular relatado é de 272 GB. Esse é um arquivo fragmentdo. Após a conclusão do backup, a avtar afirma ter feito backup de 272 GB de dados.
 

2015-04-30 12:08:09 avtar Info <5163>: Backup complete, wrapping-up session with Server
2015-04-30 12:08:10 avtar Info <5156>: Backup #494 timestamp
2015-04-30 12:21:58, 131 files, 16 directories, 272.0 GB (5 files, 6.830 KB, 0.00% new)
2015-04-30 12:08:10 avtar Info <7539>: Label "MOD-1430395268242", scheduled to expire after 06/29/15 (2015-06-29 12:01:07 UTC), none backup
2015-04-30 12:08:10 avtar Info <6083>: Backed-up 272.0 GB in 20.83 minutes: 783 GB/hour (377 files/hour)

O valor relatado para o volume de dados que foi feito backup é maior do que o tamanho do file system do Linux.

root@linuxclient:~/#: df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 7.9G 2.4G 5.1G 32% /
/dev/sda1 122M 13M 103M 12% /boot
none 3.0G 0 3.0G 0%
/dev/shm /dev/sda3 1.5G 125M 1.3G 9% /var

O arquivo /var/log/lastlog muda sempre que um usuário (humano ou outro tipo) faz log-in no sistema. O Avtar deve processar todo o arquivo devido às limitações de manuseio de arquivos fragmentados descritas no artigo Avamar e arquivos fragmentados.

Solução alternativa 1: Exclua /var/log/lastlog do backup. 

Se o usuário precisar fazer backup do lastlog para fins de auditoria, considere criar um crontab diário agendado para enviar o resultado do lastlog para um arquivo de saída,
por exemplo,

lastlog > /var/log/lastlog_$(date +%d%m%Y).log

A atualização regular lastlog_< arquivo seria> submetida a backup, mas o lastlog original e fragmento não seria.


Solução temporária 2: Reduza o intervalo de IDs de usuário e reduza o "lastlog".

Considere se um ID de usuário alto é necessário. É provável que ele consuma todos os IDs de usuário no intervalo especificado?
Se um ID de usuário inferior estiver igualmente funcional, o seguinte pode ser útil; 

• Edite /etc/passwd para garantir que o intervalo de IDs de usuário seja o menor possível.
• Renomeie o arquivo lastlog e, em seguida, crie-o novamente usando o último registro de toque. Defina a propriedade e as permissões como iguais às do arquivo original.
• Conecte-se ao sistema com um usuário para atualizar o arquivo lastlog recém-criado.

root@linuxclient:/var/log/#: ls -ltrhs | grep lastlog
36K -rw-r----- 1 root tty 272G Apr 28 09:44 lastlog.old
8.0K -rw-r----- 1 root tty 143K Apr 28 09:50 lastlog

Nota nº 1:
Do ponto de vista do desempenho, um grande arquivo fragmentar leva um tempo significativo para ser submetido a backup. Devido à natureza do "lastlog", é provável que o arquivo seja modificado e deve ser totalmente processado todos os dias. Paraobter mais informações sobre arquivos fragmentados, consulte Avamar e arquivos fragmentados.

Nota nº 2:
O arquivo /var/log/lastlog é um arquivo fragmentado cujo tamanho depende do intervalo de IDs de usuário existentes no arquivo /etc/passwd.

No exemplo fornecido acima, /etc/passwd originalmente tinha IDs de usuário que tinham até 502.  

O arquivo era esparso, mas moderadamente. O tamanho do arquivo relatado era pequeno.

root@linuxclient:/var/log/#: ls -ltrhs /var/log/lastlog
16K -rw-rw-r-- 1 root root 143K Apr 30 11:26 /var/log/lastlog

A adição de um usuário com um ID de usuário grande faz com que o tamanho do lastlog aumente significativamente no tamanho relatado. Conforme ilustrado abaixo, quanto maior o ID do usuário, mais fragmentado (e maior o tamanho relatado) do lastlog.

Adicione um usuário com um ID de usuário alto.

root@linuxclient:/var/log/#: useradd sparsetest -u 999999 

Sparsetest do usuário criado.

root@linuxclient:/var/log/#: tail -1 /etc/passwd sparsetest:x:999999:999999::/home/sparsetest:/bin/bash

O arquivo lastlog aumenta no tamanho relatado.

root@linuxclient:/var/log/#: ls -ltrhs /var/log/lastlog
32K -rw-rw-r-- 1 root root 279M Apr 30 11:34 /var/log/lastlog

Adicione um usuário com um ID de usuário ainda maior.

root@linuxclient:/var/log/#: useradd sparsetest2 -u 999999999

O arquivo lastlog se torna ainda mais fragmentdo.

root@linuxclient:/var/log/#: ls -ltrhs /var/log/lastlog
48K -rw-rw-r-- 1 root root 272G Apr 30 11:46 /var/log/lastlog