다음 rsyslog 구성이 있습니다.
시스템 로그 마스터(centos 7.x):
[root@SYSLOGMASTER ~]# egrep -i "UDP|TCP|template" /etc/rsyslog.conf -A3
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
$template remote-incoming-logs, "/var/log/RemoteLogs/%HOSTNAME%/%PROGRAMNAME%.log"
if $fromhost !='SYSLOGMASTER' then -?remote-incoming-logs
& stop
시스템 로그 클라이언트
[root@SYSLOG-CLIENT ~]# egrep -v "^$|^#" /etc/rsyslog.conf
$PreserveFQDN on
$template FileFormatMillisec,"%TIMESTAMP%%TIMESTAMP:20:23:date-rfc3339% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
$ActionFileDefaultTemplate FileFormatMillisec
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$WorkDirectory /var/lib/rsyslog
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging off
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;local2.none -/var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
local0.* -/var/log/app/app.log
$SystemLogRateLimitInterval 0
$EscapeControlCharactersOnReceive off
local1.* -/var/log/app/api.http.log
local2.* -/var/log/app/app.http.log
*.* @@172.24.34.118:514
[root@SYSLOG-CLIENT ~]#
/etc/rsyslog.d/*에는 구성이 없습니다.
여기서 문제는 rsyslog가 "/var/log/RemoteLogs" 경로 내에 이상한 디렉터리를 생성한다는 것입니다. 내가 발견한 것은 이러한 디렉터리 이름이 클라이언트 서버에서 마스터 서버로 전송되는 로그 파일에서 나온다는 것입니다. 다음은 샘플 디렉터리(09-01,09-02,129,138,147,165 등)입니다.
[root@SYSLOGMASTER RemoteLogs]# ll
total 4
drwx------ 2 root root 34 Sep 1 23:08 09-01
drwx------ 2 root root 146 Sep 2 09:08 09-02
drwx------ 2 root root 19 Sep 1 23:18 129
drwx------ 2 root root 19 Sep 1 23:33 138
drwx------ 2 root root 19 Sep 1 23:48 147
drwx------ 2 root root 19 Sep 2 00:18 165
drwx------ 2 root root 4096 Sep 2 08:48 172.24.34.104
drwx------ 2 root root 118 Sep 1 20:12 172.24.34.108
이에 대한 조언을 주시면 감사하겠습니다.