Я работаю над решением централизованного ведения журналов с использованием стека ELK и Kafka.
Я запускаю Ubuntu Xenial на всех машинах и использую Rsyslog с омкафкой для записи всех сообщений журнала в тему кафки. Трубопровод это:
+-----------+ +-----------+ +--------------+ +-------------------+ | | | | | | | | | Rsyslog +------> Kafka +------> Logstash +--------> Elasticsearch | | (omkafka) | | | | | | | | | +-----------+ +--------------+ +-------------------+ +-----------+ Поскольку теперь у меня есть это решение, я увеличил многословность большинства журналов, чтобы получить как можно больше информации.
Это, однако, выявило большую болевую точку: / var / log / syslog растет со скоростью, при которой ежедневная регистрация не работает, диски заполняются ~ 4 часа. Поскольку содержимое файла мне точно не нужно, я думал о том, чтобы вообще отключить запись в этот файл. Я искал в документации Rsyslog и не могу найти никакой информации по этому вопросу.
Как отключить ведение журнала файлов в этом случае?
Другой альтернативой, которой я хотел избежать, является повышение частоты логротации до почасовой.
Спасибо
Вероятно, все, что вам нужно, это закомментировать следующую (или похожую) строку в вашем /etc/rsyslog.conf:
syslog.* /var/log/syslog Или уменьшите его до более ограничивающего уровня, например, warn или err:
syslog.err /var/log/syslog Полный список приоритетных ключевых слов см. В «man rsyslog.conf».