Мне было любопытно, отсортировал ли кто-нибудь входящие журналы, захваченные Rsyslog, по имени хоста и отметке времени в журнале.
Прямо сейчас у меня Rsyslog сортирует сообщения по имени хоста, перемещая их в соответствующие папки, а затем для Logrotate установлено значение daily. Меня беспокоит, если после logrotation появляются журналы с отметкой времени за предыдущий день. Поскольку не все серверы времени синхронизированы, я подумал, что это может вызвать некоторую путаницу, если мне когда-либо понадобится искать журналы, а имя файла не на 100% является правильной датой для журналов внутри.
Любая помощь?
Ура
убедитесь, что вы используете ntp для синхронизации времени. Если не пытаетесь использовать переменные свойств сообщения. Это элементы, полученные из сообщения или информации о соединении, например, метка времени в сообщении, метка времени, когда сообщение было получено в локальной системе , имя хоста в сообщении, имя хоста / IP-адрес системы, доставившей сообщение в локальный ящик, информацию PRI и т. д. Для rsyslog версии 5 и более ранних это были единственные доступные переменные.
Поэтому попробуйте использовать получение переменной времени, а не метку времени, чтобы избежать этой проблемы.
> $template TEMPLATE_NAME,"%timegenerated:::date-rfc3339% %fromhost% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"