Я запускаю syslog-ng pe 4 lts на Centos 6. Syslog рекурсивно просматривает локальный каталог веб-журналов и перемещает их на NAS. Мы видим, что на NAS появляются некоторые старые строки журнала за текущие даты. Например, строка журнала с меткой времени от 10.02.2015 будет отображаться на NAS в файле, датированном сегодняшним днем. Я считаю, что проблема в файле syslog-ng.persist. Если я «открываю» его с помощью строк, я вижу сотни записей о файлах за октябрь. Поскольку мы не используем версию 5 (и больше не подписываемся на Balabit), у нас нет инструмента сохранения, который теперь позволяет вам управлять этим файлом.
У меня двоякий вопрос: 1. Если я просто удалю этот файл (после остановки syslog-ng), будет ли syslog воссоздавать его при запуске? Я понимаю, что мне также придется заранее очистить каталог, о котором идет речь, иначе я попаду в такое же затруднительное положение.
Спасибо.
Да, syslog-ng воссоздает постоянный файл. Однако в постоянном файле хранятся позиции следующего сообщения для чтения из ваших исходных файлов, что означает, что syslog-ng будет думать, что все ваши файлы журналов новые, и повторно отправит все сообщения на ваш NAS.
В новых версиях syslog-ng есть опция read-old-records (), которая может предотвратить такое поведение.
С уважением, Роберт Фекете