[Sysadmins] rsyslogd

[Alex Moskalenko]

Vladimir Karpinsky писал 18.09.2019 22:07:
> После обновления с p8 до p9 и переходе на rsyslogd сообщения в
> /var/log/messages стали приходить с датой следующего вида:
> 2019-09-18T18:01:01.736395+00:00
> 
> Можно ли как-то отредактировать формат? Нашёл пару рецептов, но не вижу 
> эффекта.

Здравствуйте.

А тут похоже проблема в порядке загрузки файлов из /etc/rsyslog.d.

Я пытался поменять формат таймстампов на традиционный, используемый 
syslogd (с новым форматом сломался pflogsumm). Обнаружил, что в 
00_common.conf уже есть строка module(load="builtin:omfile" 
Template="RSYSLOG_TraditionalFileFormat"), которая по идее должна делать 
именно это. Но нет - таймстампы в логах "точные" и с таймзоной.


После экспериментов выяснилось, rsyslog грузит файлы из этого каталога в 
алфавитном порядке, поэтому сначала загружается 00_classic.conf (на этом 
этапе настройки формата по умолчанию еще не изменены), а затем 
00_common.conf и 00_extrasockets.conf.

При этом файл 00_extrasockets.conf пересоздается каждый раз при 
перезапуске rsyslogd, поэтому переименовать его нельзя. И он обязательно 
должен грузиться после 00_classic.conf, где загружается модуль imuxsock, 
требующийся для создания сокетов из 00_extrasockets.conf.

На мой взгляд, сделать нужно следующее.

1. 00_classic.conf переименовать в например 10_classic.conf
2. 00_extrasockets.conf переименовать в например 20_extrasockets.conf

Тогда сначала отработает 00_common.conf, устанавливающий умолчания, 
затем 10_classic.conf, загружающий imuxsock, а затем 
20_extrasockets.conf, создающйи дополнительный сокеты.

Багу вешать?

---
WBR, Alex Moskalenko