Pakon by mel zaplnovat “tmp” jen do urcite miry a pak by mela surricata tato data zpracovat a prenest nekam do “srv” (pokud je to nastaveno). Ano stane se, ze to z nejakeho duvodu nefacha (kdyz je vice sluzeb co pouziva suricatu, ludus/pakon/ids) a jen se plni logy a nic se neodlejva a pak papa satecek.
Ja jsem kdysi vsechny tyhle sluzby vazane na suricatu zrusil, ono to krom tmp taky celkem zatezovalo procaky (a to se mi nelibilo vic), s tim souviselo i to, ze se v jistych situacich mohl snizit sitovej prutok.
Ale i tak jsem v ramci “tmp” udelal par vopicek a nektere veci mam symlinkovane z tmp do srv naprimo (iptables logy, lease fajly a de facto veskere logy a tak). Mam v “rc.local” par radku, ktere mi ty symlinky pri kazdem bootu znova nastavej. A tak nejak se mi drzi “use%” na 1% 
v tempu (ty mas 5% coz taky neni zas tak hrozny). Kdyz to jde a vim jak na to (sem tam na to jdu linuxove nez openwrt cestou) tak se snazim do tmp nezapisovat pokud to neni uplne nutne. Kvuli tomu jsem upravoval syslog-ng a logrotate configy a i par scriptu s tim souvisejici.
ad_tmp
jakmile se zaplni , tak proste presane fachat vse, pacz do /tmp je de facto zaroven /var a tam jsou pak /var/etc kam se generujou configy z uci a kdyz pak neco restartujes a on nema kam zapsat (napriklad smb.conf) tak ti pak nejede samba. To by se spis vyplatilo udelat si checker, co ti posle notifikaci kdyz se /tmp naplni do nejakeho limitu. Idealne aby kontrolovat i konkretni cesty/fajly a pripadne pri prekroceni nejake velikosti by udelal rovnou stop/prumaz/start.
Osobne jsem u Pakone dost casto proste ta data v tmp smaznul, pridje se tim jen o sebrana data od posledniho bootu(respektive posledni odrotovana cast). Me ten restart prijde zbytecne “overpowered” :).
imho
pokud pouzivas ludus a pakon zaroven, ja bych se jedne z tech sluzeb zbavil. Ono se to nejak pere o tu suricatu a ta pravidla a vi buh proc sem tam se to nejak rozbije. Nevim jak to je ted(uz nejakej ten patek tyhle vychytavky nepouzivam), ale ludus a pakon nejak chtel jinou sadu balicku a kazdemu se nelibil ten balicek toho druheho (nebo se ani neracil zkusit nainstalovat). Ikdyz jsem to “nejak” rozjel (vsechny tri sluzby naraz), stejne to cas od casu zazlobilo (obvykle po TOS update) a me to nebavilo opravovat metodou “zkus vse co si zkusil minule, snad neco zabere”.