1、首先排除/var/log/mailog日志,但是发现是空的。

2、查看rsyslog日志配置文件,主要注意$IncludeConfig和mail这两行。

[root@gxm log]# vi /etc/rsyslog.conf
$IncludeConfig /etc/rsyslog.d/*.conf
# Log all the mail messages in one place.
#mail.*                                                  -/var/log/maillog
mail.*                                                  -/home/maillogdir/maillog


3、发现有人将maillog日志改成了/home分区(而且没做轮询,这个日志20几G了,造成写入日志异常)。于是我注释掉,恢复到到默认。

mail.*                                                  -/var/log/maillog
#mail.*                                                  -/home/maillogdir/maillog


4、重启/etc/init.d/rsyslog restart后以为/var/log/maillog会有记录,但是还是空的,后来想到了还有这个$IncludeConfig /etc/rsyslog.d/*.conf。
果然/etc/rsyslog.d下面有个log.conf文件,内容如下:

$ModLoad immark # provides --MARK-- message capability
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # kernel logging (formerly provided by rklogd)
$ModLoad lmregexp
$SystemLogRateLimitInterval 0
$ModLoad imfile
$InputFileName  /usr/local/kk-mail/log/apache/mail_access_log
$InputFileTag mailgxm001[mailgxm001]
$InputFileFacility local5
$InputFileSeverity info
$InputFileStateFile ssologs.log_state
$InputFilePollInterval 1
$InputFilePersistStateInterval 1
$InputRunFileMonitor
local5.* @@192.168.1.103;RSYSLOG_ForwardFormat
*.info;mail.none;authpriv.none;cron.none                @@192.168.1.103
authpriv.*                                               @@192.168.1.103


5、把这个文件移动走,然后重启rsyslog服务后好了

6、然后此时重启postfix和dovecot服务后不会再有问题了,所以可能和maillog日志太大有关系。
所顺便改了操作系统最大文件描述符、dovecot连接数、postfix连接数。