1

Я работаю над решением централизованного ведения журналов с использованием стека ELK и Kafka.

Я запускаю Ubuntu Xenial на всех машинах и использую Rsyslog с омкафкой для записи всех сообщений журнала в тему кафки. Трубопровод это:

+-----------+      +-----------+      +--------------+        +-------------------+
|           |      |           |      |              |        |                   |
|  Rsyslog  +------>   Kafka   +------>   Logstash   +-------->   Elasticsearch   |
| (omkafka) |      |           |      |              |        |                   |
|           |      +-----------+      +--------------+        +-------------------+
+-----------+

Поскольку теперь у меня есть это решение, я увеличил многословность большинства журналов, чтобы получить как можно больше информации.

Это, однако, выявило большую болевую точку: /var /log /syslog растет со скоростью, при которой ежедневная регистрация не работает, диски заполняются ~ 4 часа. Поскольку содержимое файла мне точно не нужно, я думал о том, чтобы вообще отключить запись в этот файл. Я искал в документации Rsyslog и не могу найти никакой информации по этому вопросу.

Как отключить ведение журнала файлов в этом случае?

Другой альтернативой, которой я хотел избежать, является повышение частоты логротации до почасовой.

Спасибо

|источник

1 ответ1

1

Вероятно, все, что вам нужно, это закомментировать следующую (или похожую) строку в вашем /etc/rsyslog.conf:

syslog.*                    /var/log/syslog

Или уменьшите его до более ограничивающего уровня, например, warn или err:

syslog.err                 /var/log/syslog

Полный список приоритетных ключевых слов см. В «man rsyslog.conf».

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .