我已经通过 rsyslog TCP/SSL 配置了从我的一台服务器到中央日志服务器的远程日志记录
一切正常,直到昨天,大多数文件刚刚停止传输,而有些文件仍在日志服务器中发送/更新。
我的 /etc/rsyslog.d/ 中有这个特定的配置
$ModLoad imfile #Load the imfile input module
# poll every 10s
$InputFilePollInterval 10
# myfile
$InputFileName /var/log/data/myFile.log
$InputFileTag myFile:
$InputFileStateFile stat-myFile
$InputFileSeverity Info
$InputFileFacility local3
$InputRunFileMonitor
当我检查文件时,它会被我的应用程序更新
ls -la /var/log/data
-rw-r--r-- 1 adm adm 2666 Apr 22 08:52 myFile.log
当我尝试检查从该客户端到我的远程日志服务器的建立连接时,它似乎没问题(netstat -tulpan | grep syslog)
tcp 0 0:42724:10514 已建立 31839/rsyslogd
然而,当我检查日志服务器时,我将来自客户端的远程日志存储在 /var/log/remotelogs//
奇怪的是,一些文件(例如 systemd.log、sshd.log、rsyslogd.log、..)实时正确更新...但 myFile.log 不是
ls -la /var/remotelogs/<clientIP>
-rw-r----- 1 root root 1945150 Apr 21 15:07 myFile.log
如您所见.. 我的时间昨天下午 3 点左右它停止了... 是什么?还要检查服务器上的网络连接,一切似乎都是合法的......
$ sudo netstat -tulpan | grep syslog
tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 3608119/rsyslogd
tcp 0 0 <serverIP>:10514 <clientIP>:42724 ESTABLISHED 3608119/rsyslogd
tcp6 0 0 :::10514 :::* LISTEN 3608119/rsyslogd
知道什么可能是错的吗?为什么有些文件没有传输而有些文件传输了?
我想..我的一个同事创建了一个脚本以某种方式影响这些文件(不知道到底发生了什么)但是当我禁用脚本并重新创建文件时..它又像一个魅力一样工作......