Tenía curiosidad por saber si alguien ha ordenado los registros entrantes capturados por Rsyslog por nombre de host y marca de tiempo en el registro.
En este momento, Rsyslog ordena los mensajes por nombre de host, los mueve a las carpetas apropiadas y luego Logrotate está configurado diariamente. Mi preocupación es si llegan registros después de la logrotación que tienen una marca de tiempo del día anterior. Como no todos los horarios de los servidores están sincronizados, pensé que esto podría causar cierta confusión si alguna vez necesito buscar los registros y el nombre del archivo no es 100% la fecha correcta para los registros internos.
¿Alguna ayuda?
Salud
Respuesta1
asegúrese de estar usando ntp para sincronizar la hora. Si no, intente usar las variables de propiedad del mensaje. Estos son elementos derivados del mensaje o la información de conexión, como la marca de tiempo dentro del mensaje, la marca de tiempo cuando se recibió el mensaje en el sistema local. , el nombre de host en el mensaje, el nombre de host/IP del sistema que entregó el mensaje al buzón local, información PRI, etc. Para rsyslog versión 5 y anteriores, estas eran las únicas variables disponibles.
Intente utilizar la variable de tiempo de recepción en lugar de la marca de tiempo para asegurarse de que este problema nunca ocurra.
> $template TEMPLATE_NAME,"%timegenerated:::date-rfc3339% %fromhost% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"