Лучшие практики для отбрасывания сообщений в (r) системном журнале?
У Вас может быть команда постфиксации, обновляющая автоматически Ваш резервный репозиторий. Тем путем у Вас есть оперативное резервное копирование.
С другой стороны, можно настроить задание крона для обновления резервного репозитория временами, Вам нравится.
Это полностью зависит от Ваших собственных предпочтений. В конце концов, нет ничего во входе в систему удаленного сервера системного журнала, которые жизненно важны для поддерживания исходных серверов в рабочем состоянии.
Я лично не отбросил бы много, так как Вы никогда не знаете то, что Вы, возможно, должны были бы диагностировать или выполнить судебную экспертизу после взлома. Устройство хранения данных является относительно дешевым, и регистрирует сжатие очень хорошо, таким образом, я предложил бы сохранить столько, сколько Вы можете, и определять период, после которого Вы производите чистку старых журналов. Я не уверен, как Вы сжали бы журналы, когда они хранятся в MySQL.
Если бы Вы действительно хотите отфильтровать журналы, кандидаты на удаление были бы сообщениями с наименьшим количеством значения для более позднего анализа, такими как почасовые повторяющиеся, которые Вы уже упомянули.