Fiquei curioso para saber se alguém classificou os logs de entrada capturados pelo Rsyslog por nome do host e carimbo de data/hora no log.
No momento, tenho o Rsyslog classificando as mensagens pelo nome do host, movendo-as para as pastas apropriadas e, em seguida, o Logrotate definido como diário. Minha preocupação é se os logs chegarem após a rotação do log com um carimbo de data/hora do dia anterior. Como nem todos os horários dos servidores estão sincronizados, imaginei que isso poderia causar alguma confusão se eu precisasse pesquisar os logs e o nome do arquivo não fosse 100% a data correta para os logs internos.
Qualquer ajuda?
Saúde
Responder1
certifique-se de usar o ntp para sincronizar a hora. Caso contrário, tente usar variáveis de propriedade da mensagem. Esses são itens derivados da mensagem ou das informações de conexão, como o carimbo de data e hora dentro da mensagem, o carimbo de data e hora em que a mensagem foi recebida no sistema local , o nome do host na mensagem, o nome do host/IP do sistema que entregou a mensagem à caixa local, informações PRI, etc. Para o rsyslog versão 5 e anteriores, essas eram as únicas variáveis disponíveis.
Portanto, tente usar a variável de tempo de recebimento em vez do carimbo de data e hora para garantir que esse problema nunca aconteça.
> $template TEMPLATE_NAME,"%timegenerated:::date-rfc3339% %fromhost% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"