Недавно мы настроили сервер системного журнала для решения SIEM. Сервер размещен на Red Hat 7.7, и все журналы брандмауэра записываются в / var / log / messages. Мы пытаемся повернуть журналы, как только их размер достигнет 8 ГБ.
Конфигурация /etc/logrotate.d/syslog:
/var/log/messages
{
missingok
size 8G
rotate 0
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}
При выполнении logrotate:
$ sudo logrotate -d /etc/logrotate.d/syslog
reading config file /etc/logrotate.d/syslog
Allocating hash table for state file, size 15360 B
Handling 1 logs
rotating pattern: /var/log/messages
8589934592 bytes (no old logs will be kept)
empty log files are rotated, old logs are removed
considering log /var/log/messages
log needs rotating
rotating log /var/log/messages, log->rotateCount is 0
dateext suffix '-20200618'
glob pattern '-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]'
renaming /var/log/messages.1 to /var/log/messages.2 (rotatecount 1, logstart 1, i 1),
renaming /var/log/messages.0 to /var/log/messages.1 (rotatecount 1, logstart 1, i 0),
fscreate context set to system_u:object_r:var_log_t:s0
renaming /var/log/messages to /var/log/messages.1
disposeName will be /var/log/messages.1
running postrotate script
running script with arg /var/log/messages
: "
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
"
removing old log /var/log/messages.1
error: error opening /var/log/messages.1: No such file or directory
Я только добавил параметры размера и поворота в конфигурацию системного журнала и прокомментировал другое средство, но оно, похоже, не работает. Есть предложения?