我很好奇是否有人按日誌中的主機名稱和時間戳記對 Rsyslog 捕獲的傳入日誌進行了排序。
現在,我讓 Rsyslog 按主機名稱對訊息進行排序,將它們移至適當的資料夾,然後將 Logrotate 設定為每日。我擔心的是,日誌在日誌輪換之後進入是否具有前一天的時間戳記。由於並非所有伺服器時間都是同步的,我認為如果我需要搜尋日誌並且檔案名稱不是 100% 內部日誌的正確日期,這可能會導致一些混亂。
有什麼幫助嗎?
乾杯
答案1
確保您正在使用 ntp 來同步時間。 、將訊息傳送到本機盒子的系統的主機名稱/IP、PRI 資訊等。
因此,請嘗試使用接收時間變數而不是時間戳來確保此問題永遠不會發生。
> $template TEMPLATE_NAME,"%timegenerated:::date-rfc3339% %fromhost% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"