Estoy trabajando en una solución de registro centralizada usando la pila ELK y Kafka.
Estoy ejecutando Ubuntu Xenial en todas las máquinas, y estoy usando Rsyslog con omkafka para escribir todos los mensajes de registro en un tema kafka. La tubería es:
+-----------+ +-----------+ +--------------+ +-------------------+
| | | | | | | |
| Rsyslog +------> Kafka +------> Logstash +--------> Elasticsearch |
| (omkafka) | | | | | | |
| | +-----------+ +--------------+ +-------------------+
+-----------+
Como ahora tengo esta solución en su lugar, he aumentado la verbosidad en la mayoría de los registros para tener la mayor cantidad de información disponible.
Esto, sin embargo, ha expuesto un gran punto de dolor: / var / log / syslog está creciendo a un ritmo en el que el logrotate diario no funcionará, los discos se llenan en ~ 4 horas. Como no necesito exactamente el contenido del archivo, estaba pensando en deshabilitar el registro en ese archivo por completo. He estado buscando en los documentos de Rsyslog y no puedo encontrar ninguna información al respecto.
¿Cómo deshabilito el registro de archivos en este caso?
La otra alternativa, que quería evitar, es activar la frecuencia de rotación hasta cada hora.
Gracias
fuente