Как сортировать входящие сообщения журнала по имени хоста и метке времени с помощью Rsyslog?
Мне было любопытно, отсортировал ли кто-нибудь входящие журналы, захваченные Rsyslog, по имени хоста и отметке времени в журнале.
Прямо сейчас у меня есть Rsyslog. сортировать сообщения по имени хоста, перемещая их в соответствующие папки, а затем для Logrotate установлено значение daily. Меня беспокоит, если после logrotation появляются журналы с отметкой времени за предыдущий день. Поскольку не все серверы синхронизированы, я подумал, что это может вызвать некоторую путаницу, если мне когда-нибудь понадобится искать журналы, а имя файла не на 100% верная дата для журналов внутри.
Любая помощь?
Ура
убедитесь, что вы используете ntp для синхронизации времени. Если нет, попробуйте использовать переменные свойства сообщения. Это элементы, полученные из сообщения или информации о соединении, такие как отметка времени в сообщении, отметка времени, когда сообщение было получено в локальной системе, имя хоста в сообщении, имя хоста/IP-адрес системы, которая доставила сообщение в локальный ящик, информация PRI и т. д. Для rsyslog версии 5 и более ранних это были единственные переменные. доступный.
Поэтому попробуйте использовать переменную времени получения, а не метку времени, чтобы убедиться, что эта проблема никогда не возникнет.
> $template TEMPLATE_NAME,"%timegenerated:::date-rfc3339% %fromhost% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"