He configurado un registro remoto desde uno de mis servidores al servidor de registro central a través de rsyslog TCP/SSL
Todo funcionó bien hasta ayer, cuando la mayoría de los archivos simplemente dejaron de transmitirse mientras que algunos todavía se envían/actualizan en el servidor de registro.
Tengo esta configuración específica dentro de mi /etc/rsyslog.d/
$ModLoad imfile #Load the imfile input module
# poll every 10s
$InputFilePollInterval 10
# myfile
$InputFileName /var/log/data/myFile.log
$InputFileTag myFile:
$InputFileStateFile stat-myFile
$InputFileSeverity Info
$InputFileFacility local3
$InputRunFileMonitor
cuando reviso el archivo, mi aplicación lo actualiza
ls -la /var/log/data
-rw-r--r-- 1 adm adm 2666 Apr 22 08:52 myFile.log
cuando intento verificar las conexiones establecidas desde este cliente a mi servidor de registro remoto, parece estar bien (netstat -tulpan | grep syslog)
tcp 0 0: 42724: 10514 ESTABLECIDO 31839/rsyslogd
sin embargo, cuando reviso el servidor de registro, almaceno los registros remotos de los clientes en /var/log/remotelogs//
Curiosamente, algunos archivos (como systemd.log, sshd.log, rsyslogd.log, ..) se actualizan correctamente en tiempo real... pero myFile.log no.
ls -la /var/remotelogs/<clientIP>
-rw-r----- 1 root root 1945150 Apr 21 15:07 myFile.log
como puedes ver... se detuvo ayer alrededor de las 3 p.m. mi hora... ¿con qué? comprobando también la conexión de red en el servidor, todo parece legítimo...
$ sudo netstat -tulpan | grep syslog
tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 3608119/rsyslogd
tcp 0 0 <serverIP>:10514 <clientIP>:42724 ESTABLISHED 3608119/rsyslogd
tcp6 0 0 :::10514 :::* LISTEN 3608119/rsyslogd
¿Alguna idea de qué podría estar mal? ¿Por qué algunos archivos no se transmiten y otros sí?
Respuesta1
Pensé... un colega mío creó un script que de alguna manera impactó esos archivos (no sé qué pasó exactamente) pero cuando desactivé el script y recreé los archivos... funcionó de maravilla otra vez...