rsyslog、タグ内のファイル名、複数行メッセージ、フォールトトレランスを使用したログ収集

oxygen-icons.orgからの画像

挑戦する

ログファイルを中央サーバーに転送します。

• サーバーが利用できない場合、メッセージを失うことはありませんが、ネットワークに表示されたときにメッセージを蓄積して送信します。
• 複数行メッセージを正しく送信します。
• 新しいログファイルが表示されたら、クライアントを再構成するだけで十分で、サーバーの構成を変更する必要はありません。
• テンプレートに対応する名前を持つすべてのログファイルのコンテンツを転送できます。サーバー上のコンテンツは、同じ名前のファイルに個別に保存されます。

条件：インフラストラクチャではLinuxサーバーのみが使用されます。

• 挑戦する
• ソフトウェアの選択
• メッセージ形式とレガシー
  
  
  • syslogプロトコルの代替：RELP
• Rsyslogの構成
• メッセージ処理
• 構成例
• クライアント：ファイル名を保存してログを転送する
  
  
  • ワイルドカードを介して指定されたログファイルの読み取り
  • 複数行メッセージ
• サーバー
• 信頼できるメッセージ配信。 キュー
• 耐障害性
• Logrotateインタラクション
  
  
  • rsyslog自体によって書き込まれたログ
  • アプリケーションによって書き込まれ、rsyslogによって読み取られるログ
• まとめ

ソフトウェアの選択

エラスティックビート、logstash、systemd-journal-remote、およびより多くの優れたテクノロジーがある場合、syslogサーバーが必要なのはなぜですか？

• これは、POSIX互換システムにログインするための標準です。
  
  haproxyなどの一部のソフトウェアは、それのみを使用します。 つまり、とにかくsyslogを完全に取り除くことはできません
• ネットワークハードウェアを使用します
• 設定は困難ですが、他のソリューションよりも機能が豊富です。
  
  たとえば、Elastic Filebeatはまだinotifyの方法を知りません。
• メモリに負担がかかりません。 少し調整した後、組み込みシステムで使用することが可能です 。
• 保存/転送する前にメッセージを変更できます。
  
  奇妙なタスクですが、時には必要です。 たとえば、セクション3.4のPCI DSSでは、カード番号をディスクに保存する場合、カード番号をマスキングまたは暗号化する必要があります。 微妙な点は、誰かが検索バーまたはフィードバックフォームにカード番号を入力した場合、リクエストをログに保存するとすぐに標準を破ることになります。

観察 ：ユーザーはページ上の任意の入力フィールドにカード番号を入力しようとし、CVVとともにサポートに通知するよう努めます。

メッセージ形式とレガシー

ネットワーク経由で送信されるsyslogメッセージは次のようになります。

<PRI> TIMESTAMP HOST TAG MSG
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

• PRI
  
  
  
  優先順位。 facility * 8 + severity
  
  
  
  として計算されます。
  
  
  • ファシリティ（カテゴリ）は0から23までの値を取り、システムサービスのさまざまなカテゴリに対応します：0-カーネル、2-メール、7-ニュース。 最後の8-local0からlocal7まで-は、事前定義されたカテゴリーに分類されないサービスに対して定義されます。 全リスト 。
  • 重大度（重要度）は、0（緊急、最高）から7（デバッグ、最低）までの値を取ります。 全リスト 。
• TIMESTAMP
  
  
  
  時刻。通常は「Feb 6 18:45:01」の形式です。 RFC 3164によれば、ISO 8601時間形式で記録することができます： "2017-02-06T18：45：01.519832 + 03：00"より正確で、使用されるタイムゾーンを考慮します。
• HOST
  
  
  
  メッセージを生成したホストの名前
• TAG
  
  
  
  メッセージを生成したプログラムの名前が含まれます。 実際には多くの実装でさらに多くの文字を使用できますが、32文字以下の英数字です。 英数字以外の文字はすべてTAGで終わり、MSGで始まります。通常はコロンを使用します。 角括弧内に、メッセージを生成したプロセスの番号が含まれることがあります。 [ ]
  
  
  
  は英数字ではないため、プロセス番号と一緒にプロセス番号をメッセージの一部と見なす必要があります。 しかし、通常、すべての実装はこれをタグの一部と見なし、「：」文字以降のすべてをメッセージとして考慮します
• MSG
  
  
  
  メッセージ。 タグの終了位置とメッセージの開始位置が不確実であるため、先頭にスペースが追加される場合があります。 改行文字を含めることはできません。これらはフレーム区切り文字であり、新しいメッセージを開始します。 複数行メッセージを転送する方法：
  
  
  • シールド。 受信側で改行の代わりに#012
    
    
    
    テキストを取得します
  • TLS対応syslogのRFC 5425で定義されているオクテットカウントTCPフレーミングの使用。 非標準、一部の実装のみ。

syslogプロトコルの代替：RELP

単純なTCP sysogの代わりにrsyslogを使用してホスト間でメッセージが転送される場合、 RELP -Reliable Event Logging Protocolを使用できます。 rsyslog用に作成されましたが、現在は他のいくつかのシステムでサポートされています。 特に、彼はLogstashとGraylogに理解されています。 トランスポートにはTCPを使用します。 オプションで、TLSを使用してメッセージを暗号化できます。 プレーンなTCP syslogよりも信頼性が高く、接続が切断されたときにメッセージを失うことはありません。 複数行メッセージで問題を解決します。

Rsyslogの構成

2番目の一般的な代替であるsyslog-ngとは異なり、rsyslogは歴史的なsyslogd構成と互換性があります。

 auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none /var/log/syslog *.* @syslog.example.net
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

rsyslogの機能は以前の機能よりもはるかに大きいため、 $



記号で始まる追加のディレクティブを使用して、構成形式が拡張されました。

 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $WorkDirectory /var/spool/rsyslog $IncludeConfig /etc/rsyslog.d/*.conf
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

6番目のバージョンから、siに似たRainerScript形式が登場し、メッセージ処理の複雑なルールを設定できるようになりました。

これらはすべて徐々に行われ、古い構成との互換性を考慮して行われたため、最終的にはいくつかの不快な瞬間が判明しました。

• 一部のプラグイン（まだそのようなプラグインには遭遇していません）は、新しいRainerScriptスタイルの設定をサポートしていない可能性がありますが、古いディレクティブが必要です
• 古いディレクティブを使用した構成は、新しい形式では常に期待どおりに機能するとは限りません。
  
  
  • omfile
    
    
    
    が古い形式を使用して呼び出された場合：
    
    auth,authpriv.* /var/log/auth.log
    
    
    
    場合、結果のファイルの所有者とパーミッションは、古い指令$FileOwner
    
    
    
    、 $FileGroup
    
    
    
    、 $FileCreateMode
    
    
    
    によって管理されます。 ただし、 action(type="omfile" ...)
    
    
    
    を使用して呼び出された場合、これらのディレクティブは無視され、アクションパラメーターを設定するか、モジュールのロード時に設定する必要があります。
  • $ActionQueueXXX
    
    
    
    という形式のディレクティブは、その後の最初のアクションで使用されるキューのみを構成し、値はリセットされます。
• セミコロンはどこかで禁止されていますが、その逆は必須です（2番目に少ない頻度）

これらの微妙な点につまずかないように（そう、それらはドキュメントで説明されていますが、誰がすべてを読んでいますか？）、簡単なルールに従うべきです：

• 小さなシンプルな設定には、古い形式を使用します。
  
  :programname, startswith, "haproxy" /var/log/haproxy.log
  
  
  
  
• 複雑なメッセージ処理とアクションの微調整のために、 $DoSomething
  
  
  
  ようなレガシーディレクティブに触れることなくRainerScriptを常に使用します

設定形式の詳細については、 こちらをご覧ください 。

メッセージ処理

• すべてのメッセージはInputから送信され（多くの場合があります）、それに添付されているRuleSetに処理されます。 これが明示的に設定されていない場合、メッセージはデフォルトでRuleSetに送られます。 別のRuleSetブロックに配置されていないすべてのメッセージ処理ディレクティブは、それに関連しています。 特に、従来の構成形式のすべてのディレクティブが含まれています。
  
  local7.* /var/log/myapp/my.log
  
  
  
  
• メッセージを解析するためのパーサーのリストが入力に添付されます。 明示的に指定されていない場合、パーサーのリストを使用して、従来のsyslog形式を解析します
• パーサーはメッセージからプロパティを抽出します。 最も使用される：
  
  
  • $msg
    
    
    
    メッセージ
  • $rawmsg
    
    
    
    パーサーによる処理前のメッセージ全体
  • $fromhost
    
    
    
    、 $fromhost-ip
    
    
    
    送信ホストのDNS名とIPアドレス
  • $syslogfacility
    
    
    
    、 $syslogfacility-text
    
    
    
    数値およびテキスト形式の機能
  • $syslogseverity
    
    
    
    、 $syslogseverity-text
    
    
    
    重大度も同じ
  • $timereported
    
    
    
    メッセージからの時間
  • $syslogtag
    
    
    
    -TAGフィールド
  • $programname
    
    
    
    カットオフプロセスIDのTAGフィールド： named[12345]
    
    
    
    -> named
    
    
    
    
  • リスト全体はこちらにあります
• RuleSetにはルールのリストが含まれ、ルールはフィルターとそれにバインドされた1つ以上のアクションで構成されます
• フィルタは、メッセージプロパティを使用した論理式です。 フィルターの詳細
• ルールはRuleSetに入ったメッセージに順番に適用され、メッセージは最初にトリガーされたルールで停止しません
• メッセージの処理を停止するには、特別な廃棄アクションを使用できます：レガシー形式のstop
  
  
  
  または~
  
  
  
  。
• テンプレートは、多くの場合、アクション内で使用されます。 テンプレートを使用すると、ネットワーク経由で送信するためのメッセージ形式や、記録するためのファイル名など、メッセージプロパティからアクションに送信するためのデータを生成できます。 テンプレートの詳細
• 通常、アクションは出力モジュール（「om ...」）またはメッセージ変更モジュール（「mm ...」）を使用します。 それらのいくつかを次に示します。
  
  
  • omfile-ファイルへの出力
  • omfwd -udpまたはtcpを介したネットワーク経由の転送
  • omrelp -RELPプロトコルを介したネットワーク転送
  • onmysql 、 ompgsql 、 omoracle-データベースへの書き込み
  • omelasticsearch - ElasticSearchのエントリ
  • omamqp1 -AMQP 1.0転送
  • 出力モジュールの全リスト

→ メッセージ処理の詳細

構成例

カテゴリauthおよびauthprivのすべてのメッセージを/var/log/auth.log



ファイルに書き込み、処理を続行します。

 # legacy auth,authpriv.* /var/log/auth.log #   if ( $syslogfacility-text == "auth" or $syslogfacility-text == "authpriv" ) then { action(type="omfile" file="/var/log/auth.log") }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

「haproxy」で始まるプログラム名を持つすべてのメッセージは、各メッセージが書き込まれた後、バッファをディスクにフラッシュせずに/var/log/haproxy.log



ファイルに書き込まれ、さらに処理を停止します。

 # legacy (      ,   ) :programname, startswith, "haproxy", -/var/log/haproxy.log & ~ #   if ( $programname startswith "haproxy" ) then { action(type="omfile" file="/var/log/haproxy.log" flushOnTXEnd="off") stop } #   if $programname startswith "haproxy" then -/var/log/haproxy.log &~
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

rsyslogd -N 1



チェック： rsyslogd -N 1



その他の構成例： one 、 two 。

クライアント：ファイル名を保存してログを転送する

TAG



フィールドにファイル名を保存します。 ファイルの単一レベルの散乱haproxy/error.log



を観察しないように、名前にディレクトリを含めたいです。 ログがファイルからではなく、プログラムからsyslogに送信されたメッセージから読み取られる場合、標準に準拠していないため、TAGに/



記号を書き込むことに同意しない場合があります。 したがって、それらを二重アンダースコアでエンコードし、ログサーバーで解析します。

ネットワーク経由でログを転送するためのテンプレートを作成します。 32文字（ログ名が長い）より長いタグを持つメッセージを送信し、タイムゾーンを示す標準のタイムスタンプよりも正確なメッセージを送信する必要があります。 さらに、ローカル変数$.suffix



がログファイルの名前に追加され、後でその理由が明らかになります。 RainerScriptのローカル変数はピリオドで始まります。 変数が定義されていない場合、空の文字列に展開されます。

 template (name="LongTagForwardFormat" type="string" string="<%PRI%>%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%$.suffix%%msg:::sp-if-no-1st-sp%%msg%")
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、ネットワーク経由でログを送信するために使用されるRuleSetを作成します。 入力に添付したり、ファイルを読み込んだり、関数として呼び出すことができます。 はい、rsyslogでは、1つのRuleSetを別のRuleSetから呼び出すことができます。 RELPを使用するには、まず適切なモジュールをダウンロードする必要があります。

 # http://www.rsyslog.com/doc/relp.html module(load="omrelp") ruleset(name="sendToLogserver") { action(type="omrelp" Target="syslog.example.net" Port="20514" Template="LongTagForwardFormat") }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、ログファイルを読み取る入力を作成し、このRuleSetをそれに添付します。

 input(type="imfile" File="/var/log/myapp/my.log" Tag="myapp/my.log" Ruleset="sendToLogserver")
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

読み取りファイルごとに、rsyslogはその作業ディレクトリ（ $WorkDirectory



ディレクティブで設定）に状態ファイルを作成することに注意してください。 rsyslogがそこにファイルを作成できない場合、rsyslogの再起動後にログファイル全体が再送信されます。

特定のタグを使用して一般的なsyslogにアプリケーションが書き込みを行い、それをファイルに保存してネットワーク経由で送信する場合：

 # Template to output only message template(name="OnlyMsg" type="string" string="%msg:::drop-last-lf%\n") if( $syslogtag == 'nginx__access:') then { # write to file action(type="omfile" file="/var/log/nginx/access" template="OnlyMsg") # forward over network call sendToLogserver stop }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらのメッセージの処理を停止stop



、最後のstop



必要です。そうしないと、一般的なsyslogに分類されます。 ちなみに、アプリケーションが標準/dev/log



（nginxとhaproxyがこれを行うことができます）に加えて、syslogに別のUnixソケットを選択できる場合、 imuxsockモジュールを使用すると、一般からのログを分析せずに、このソケットに個別の入力を作成し、必要なRuleSetをアタッチできますタグによるフロー。

ワイルドカードを介して指定されたログファイルの読み取り

間奏

プログラマー：ログサーバーで先月の初めのsomevendor.logログを見つけることができません。plizを参照してください。

Devops：ええと...本当にそのようなログを書くのでしょうか？ 警告する必要があります。 いずれにせよ、1週間以上経過しているものはすべてlogrotateを失っています。保存しないと、それはもう意味がありません。

プログラマー： 激怒

アプリケーションが多くの異なるログを書き込み、時々新しいログが表示される場合、毎回設定を更新するのは不便です。 これを自動化したい。 imfileモジュールは、ワイルドカードで指定されたファイルを読み取り、ファイルパスをメッセージメタデータに保存できます。 確かに、パスは完全なままであり、そこから取得する必要がある最後のコンポーネントのみが必要です。 ところで、ここでは変数$.suffix

 input(type="imfile" File="/srv/myapp/logs/*.log" Tag="myapp__" Ruleset="myapp_logs" addMetadata="on") ruleset(name="myapp_logs") { # http://www.rsyslog.com/doc/v8-stable/rainerscript/functions.html # re_extract(expr, re, match, submatch, no-found) set $.suffix=re_extract($!metadata!filename, "(.*)/([^/]*)", 0, 2, "all.log"); call sendToLogserver }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ワイルドカードは、imfile inotify



モードでのみサポートされます（これはデフォルトモードです）。 バージョン8.25.0以降、ファイル名とパスの両方でワイルドカードがサポートされています：/ var / log / / .log。

複数行メッセージ

複数行メッセージを含むログファイルを操作するために、imfileモジュールには3つのオプションがあります。

• readMode=1
  
  
  
  メッセージは空の文字列で区切られます
• readMode=2
  
  
  
  新しいメッセージは行の先頭から始まり、メッセージの継続はインデントされます。 Stektraysはしばしばこのように見えます
• startmsg.regex
  
  
  
  -regexp（POSIX Extended）によって新しいメッセージの開始を決定します

最初の2つのオプションには、操作のinotify



モードで問題があり、必要に応じて、3番目のオプションは対応する正規表現に簡単に置き換えられます。 複数行のログの読み取りには、微妙な点が1つあります。 通常、新しいメッセージの兆候は最初にあり、次のメッセージが始まるまでプログラムが最後のメッセージの書き込みを終了したことを確認することはできません。 このため、最後のメッセージが送信されることはありません。 これを回避するために、 readTimeout



を設定します。その後、メッセージは完了したと見なされ、送信されます。

 input(type="imfile" File="/var/log/mysql/mysql-slow.log" # http://blog.gerhards.net/2013/09/imfile-multi-line-messages.html startmsg.regex="^# Time: [0-9]{6}" readTimeout="2" # no need to escape new line for RELP escapeLF="off" Tag=" mysql__slow.log" Ruleset="sendToLogserver")
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

サーバー

サーバー上で、送信されたログを受け入れ、送信ホストのIPと受信時間に従ってディレクトリに分類する必要があります： /srv/log/192.168.0.1/2017-02-06/myapp/my.log



メッセージの内容に応じてログファイル名を設定するために、テンプレートを使用することもできます。 テンプレートを使用する前に、 $.logpath



変数を$.logpath



内に設定する必要があります。

 template(name="RemoteLogSavePath" type="list") { constant(value="/srv/log/") property(name="fromhost-ip") constant(value="/") property(name="timegenerated" dateFormat="year") constant(value="-") property(name="timegenerated" dateFormat="month") constant(value="-") property(name="timegenerated" dateFormat="day") constant(value="/") property(name="$.logpath" ) }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

必要なモジュールをロードして$EscapeControlCharactersOnReceive



オフにします。そうしないと、受信したログですべての改行が\n



置き換えられます

 # Accept RELP messages from network module(load="imrelp") input(type="imrelp" port="20514" ruleset="RemoteLogProcess") # Default parameters for file output. Old-style global settings are not working with new-style actions module(load="builtin:omfile" FileOwner="syslog" FileGroup="adm" dirOwner="syslog" dirGroup="adm" FileCreateMode="0640" DirCreateMode="0755") # Module to remove 1st space from message module(load="mmrm1stspace") # http://www.rsyslog.com/doc/v8-stable/configuration/input_directives/rsconf1_escapecontrolcharactersonreceive.html # Print recieved LF as-it-is, not like '\n'. For multi-line messages # Default: on $EscapeControlCharactersOnReceive off
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで、受信ログを解析してそれらをフォルダーに配置するRuleSetを作成します。 ロギングをsyslogのみに依存するサービスは、メッセージ時間の節約を期待しています。 したがって、標準ファシリティで到着したログをsyslog形式で保存し、ファシリティlocal0-local7で到着したログについては、 TAG



フィールドからログ名を取得し、syslogフィールドを残さずにメッセージ自体のみを記録します。 メッセージに貼り付けられたスペースの問題は、RELPに残ります。これは、メッセージの解析段階で発生するため、このギャップを削減します。

パフォーマンスを向上させるために、非同期的に記述します： asyncWriting="on"



と大きなバッファーioBufferSize=64k



ます。 メッセージを受信するflushOnTXEnd="off"



後flushOnTXEnd="off"



バッファーをflushOnTXEnd="off"



ませんが、ログサーバーにログが非常に迅速に表示されるように、1秒ごとにこれを行います： flushInterval="1"



。

 ruleset(name="RemoteLogProcess") { # For facilities local0-7 set log filename from $programname field: replace __ with / # Message has arbitary format, syslog fields are not used if ( $syslogfacility >= 16 ) then { # Remove 1st space from message. Syslog protocol legacy action(type="mmrm1stspace") set $.logpath = replace($programname, "__", "/"); action(type="omfile" dynaFileCacheSize="1024" dynaFile="RemoteLogSavePath" template="OnlyMsg" flushOnTXEnd="off" asyncWriting="on" flushInterval="1" ioBufferSize="64k") # Logs with filename defined from facility # Message has syslog format, syslog fields are used } else { if (($syslogfacility == 0)) then { set $.logpath = "kern"; } else if (($syslogfacility == 4) or ($syslogfacility == 10)) then { set $.logpath = "auth"; } else if (($syslogfacility == 9) or ($syslogfacility == 15)) then { set $.logpath = "cron"; } else { set $.logpath ="syslog"; } # Built-in template RSYSLOG_FileFormat: High-precision timestamps and timezone information action(type="omfile" dynaFileCacheSize="1024" dynaFile="RemoteLogSavePath" template="RSYSLOG_FileFormat" flushOnTXEnd="off" asyncWriting="on" flushInterval="1" ioBufferSize="64k") } } # ruleset
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

信頼できるメッセージ配信。 キュー

k-max.nameブログの画像

一部のアクションでは、ネットワーク経由でログを送信したり、データベースに書き込んだりするなど、実行が遅くなったり、一時停止したりすることがあります。 メッセージを失い、次のアクションに干渉しないようにするために、 キューを使用できます 。 各アクションには常にメッセージキューが割り当てられます。デフォルトでは、サイズはゼロのダイレクトキューです。 すべての入力メッセージから受信したメッセージのメインキューはまだありますが、設定することもできます。

キューの種類：ディスク、メモリ、および最も興味深いオプションは、ディスクアシストメモリキューを組み合わせたものです。 このようなキューはメモリを使用し、メモリ内のキューがいっぱいの場合、またはサービスのリブート時に未送信メッセージを保存する必要がある場合、ディスクの使用を開始します。 メッセージは、キュー内のメッセージの数がqueue.highwatermark



に達するとディスクに書き込まれ始め、その数がqueue.lowwatermark



下がるとディスクへの保存が停止されます。 サービスのプリロード中に未送信メッセージをディスクに保存するには、 queue.saveonshutdown="on"



指定する必要があります。

ネットワークを介したログの送信またはデータベースへの書き込みが失敗した場合、アクションは中断されます。 rsyslogは、試行ごとに増加する特定の間隔でActionの再開を試みます。 問題を解決した後すぐにログを転送するには、 action.resumeRetryCount="-1"



（無制限）とキューを停止する間隔をaction.resumeInterval="10"



に設定する必要があります。 アクションパラメータの詳細をご覧ください 。

キューを持つクライアントのRuleSetは次のようになります。

 ruleset(name="sendToLogserver") { # Queue: http://www.rsyslog.com/doc/v8-stable/concepts/queues.html#disk-assisted-memory-queues # Disk-Assisted Memory Queue: queue.type="LinkedList" + queue.filename # queue.size - max elements in memory # queue.highwatermark - when to start saving to disk # queue.lowwatermark - when to stop saving to disk # queue.saveonshutdown - save on disk between rsyslog shutdown # action.resumeRetryCount - number of retries for action, -1 = eternal # action.resumeInterval - interval to suspend action if destination can not be connected # After each 10 retries, the interval is extended: (numRetries / 10 + 1) * Action.ResumeInterval action(type="omrelp" Target="syslog.example.net" Port="20514" Template="LongTagForwardFormat" queue.type="LinkedList" queue.size="10000" queue.filename="q_sendToLogserver" queue.highwatermark="9000" queue.lowwatermark="50" queue.maxdiskspace="500m" queue.saveonshutdown="on" action.resumeRetryCount="-1" action.reportSuspension="on" action.reportSuspensionContinuation="on" action.resumeInterval="10") }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これで、ログサーバーを安全にリロードできます。メッセージはキューに保存され、利用可能になったときに送信されます。

注意：ネットワークの復元後にキューからメッセージを送信する場合、それらの相対的な順序に違反する可能性があります（コメントのzystemに感謝します ）。 rsyslogの作成者は、これは予想される動作であると答えました。詳細については、 http ： //www.gerhards.net/download/LinuxKongress2010rsyslog.pdfを参照してください （セクション7「同時実行関連の最適化」）。 要するに、マルチスレッドキュー処理でメッセージの順序を厳密に維持しようとすると、スレッドブロッキングが必要になるため、パフォーマンスが低下します。 厳密なメッセージシーケンスの概念は、一部のタイプのトランスポート、マルチスレッドジェネレータ、およびメッセージレシーバでは意味をなさない場合があります。

耐障害性

前のアクションが一時停止された場合にのみ実行するようにアクションを構成できます： description 。 これにより、フェールオーバー構成を構成できます。 一部のアクションは、トランザクションを使用してパフォーマンスを向上させます。 この場合、成功または失敗は、メッセージがすでに処理されている場合、トランザクションが完了した後にのみ認識されます。 これにより、フェールオーバーアクションを呼び出さずに一部のメッセージが失われる可能性があります。 これを防ぐには、パラメータqueue.dequeuebatchsize="1"



（デフォルトでは16）を設定する必要があります。これにより、パフォーマンスが低下する可能性があります。

 ruleset(name="sendToLogserver") { action(type="omrelp" Target="syslog1.example.net" Port="20514" Template="LongTagForwardFormat") action(type="omrelp" Target="syslog2.example.net" Port="20514" Template="LongTagForwardFormat" action.execOnlyWhenPreviousIsSuspended="on" queue.dequeuebatchsize="1") }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

実稼働環境ではこの機能をまだ試していません。

Logrotateインタラクション

rsyslog自体によって書き込まれたログ

smth.log



、デフォルトのスキームを使用してsmth.log



しますsmth.log



変更され、新しいsmth.log



が作成されます。 回転後のアクションでは、SIGHUPをrsyslogdプロセスに送信する必要があります。 : rsyslog SIGHUP, -.

 /var/log/someapp/*.log{ weekly missingok rotate 5 create 0644 syslog adm sharedscripts postrotate test -s run/rsyslogd.pid && kill -HUP $(cat /run/rsyslogd.pid) # postrotate script should always return 0 true endscript }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

, rsyslog

, (SIGHUP - ), . rsyslog inode .

logrotate copytruncate



, smth.log



smth.log.1



. rsyslog ( , ). 8.16.0, imfile



reopenOnTruncate



(- "off"



, "on"



). rsyslog (inode , ). "", . 8.16.0, copytruncate



SIGHUP rsyslogd post-rotate action.

: Debian/Ubuntu logrotate , — . /etc/cron.daily/logrotate



.

まとめ

. , syslog. . - . , .

rsyslog v8, . Ubuntu ppa adiscon/v8-stable . CentOS/RHEL .

PS

UPD: , zystem .

UPD2: logrotate.