LINUX.ORG.RU
ФорумAdmin

Rsyslog отправляет больше логов чем надо

 ,


0

1

Всем привет. Столкнулся с такой проблемой.
Необходимо было собирать логи с машин средствами rsyslog. Я написал конфиг файл клиента

$ModLoad imfile

$InputFileName /var/log/nginx/access.log
$InputFileTag nginx_access:
$InputFileSeverity debug
$InputFileStateFile stat-nginx-access
$InputFilePollInterval 5
$InputRunFileMonitor

if $programname == 'nginx_access' then @@Сервер_приемник_лога:515

И сервера (сервер на syslog-ng, выдержка)

source tcp_only { tcp (ip("ип-адрес") port(515) max-connections(50) ); };

filter from_Сервер_источник { host("^regex$") };
log { source(tcp_only); filter(from_Сервер_источник); destination(to_Сервер_источник);};
destination to_Сервер_источник { file ( "путь-к-логу" perm(0644) dir_perm(0755)  create_dirs(yes)); };
В итоге я получаю повторения логов (например на сервере_источнике 1 гб, на приемнике 2,5гб или более, пример ниже)
В конфиге syslog-ng путь file указан только для этого destination, а destination только для этого Сервер_источник

Сервер_источник nginx_access: IP - - [13/Aug/2013:05:46:37 +0400] "POST /location HTTP/1.1" 200 349 "-"
Сервер_источник nginx_access: IP - - [13/Aug/2013:05:46:37 +0400] "POST /location HTTP/1.0" 200 316 "-"
Сервер_источник nginx_access: IP - - [13/Aug/2013:05:46:37 +0400] "POST /location HTTP/1.1" 200 11230 "-"
Сервер_источник nginx_access: IP - - [13/Aug/2013:05:46:37 +0400] "POST /location HTTP/1.0" 200 12388 "-"
----ВНИМАНИЕ--- идет повторный кусок лога 
Сервер_источник nginx_access: IP - - [13/Aug/2013:00:02:01 +0400] "POST /location HTTP/1.0" 200 316 "-"
Сервер_источник nginx_access: IP - - [13/Aug/2013:00:02:04 +0400] "POST /location HTTP/1.0" 200 12473 "-"

Подскажите куда копать

★★★

попытайся понять кто дублирует - rsyslogd или ng-syslogd. Если rsyslogd передает дважды, то это будет видно по объему трафика на 515 порту, иначе косяк в ng-syslogd

Про повтор не понял. В приведенном логе времена совсем разные и размеры ответов разные.

vel ★★★★★ ()
Ответ на: комментарий от vel

У меня такое ощущение, что rsyslog на клиенте время от времени начинает заново перечитывать файл.
Например файл гигового размера, rsyslog перешлет половину файла и начинает слать этот же файл заново.

trofk ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.