我已经配置了从我的一台服务器通过 rsyslog TCP/SSL 到中央日志服务器的远程日志记录
一切都运行正常,直到昨天大多数文件停止传输,但有些文件仍在日志服务器中发送/更新。
我的 /etc/rsyslog.d/ 中有这个特定的配置
$ModLoad imfile #Load the imfile input module
# poll every 10s
$InputFilePollInterval 10
# myfile
$InputFileName /var/log/data/myFile.log
$InputFileTag myFile:
$InputFileStateFile stat-myFile
$InputFileSeverity Info
$InputFileFacility local3
$InputRunFileMonitor
当我检查文件时,它会被我的应用程序更新
ls -la /var/log/data
-rw-r--r-- 1 adm adm 2666 Apr 22 08:52 myFile.log
当我尝试检查从该客户端到我的远程日志服务器建立的连接时,似乎没有问题(netstat -tulpan | grep syslog)
tcp 0 0:42724:10514 已建立 31839/rsyslogd
但是当我检查日志服务器时,我将来自客户端的远程日志存储在 /var/log/remotelogs// 中
奇怪的是,一些文件(例如 systemd.log、sshd.log、rsyslogd.log 等)可以实时正确更新……但 myFile.log 却不能
ls -la /var/remotelogs/<clientIP>
-rw-r----- 1 root root 1945150 Apr 21 15:07 myFile.log
正如你所见,它昨天下午 3 点左右停止了……什么情况?检查服务器上的网络连接,一切似乎正常……
$ sudo netstat -tulpan | grep syslog
tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 3608119/rsyslogd
tcp 0 0 <serverIP>:10514 <clientIP>:42724 ESTABLISHED 3608119/rsyslogd
tcp6 0 0 :::10514 :::* LISTEN 3608119/rsyslogd
知道哪里出了问题吗?为什么有些文件没有被传输,而有些却被传输了?
答案1
我想...我的一个同事创建了一个脚本,以某种方式影响了这些文件(不知道究竟发生了什么)但是当我禁用该脚本并重新创建文件时...它又恢复了正常......