如果刪除，Syslog-ng 會重新創建 syslog-ng.persist 文件嗎？

我在 Centos 6 上執行 syslog-ng pe 4 lts。Syslog 正在遞歸 Web 日誌的本地目錄並將它們移動到 NAS。我們看到一些舊的日誌行顯示在目前日期的 NAS 上。例如，時間戳為 02/10/2015 的日誌行將顯示在 NAS 上今天日期的文件中。我相信問題出在 syslog-ng.persist 文件上。如果我使用字元串“打開”它，我會在 10 月份看到數百個文件條目。由於我們沒有使用版本 5（並且不再訂閱 Balabit），我們沒有現在允許您操作此文件的持久工具。

我的問題有兩個： 1. 如果我只是刪除這個文件（在停止 syslog-ng 之後），syslog 會在啟動時重新創建它嗎？我知道我還必須事先清理有問題的目錄，否則我將陷入同樣的困境。

2. 如果 syslog 沒有創建它——我假設我不能簡單地觸摸一個新的，因為文件命令說它是文件類型“數據”——除了persist-tool 之外，有沒有人知道另一種方法來操作這個文件？

謝謝你。

是的，syslog-ng 將重新創建持久文件。但是，持久文件儲存要從源文件中讀取的下一條消息的位置，這意味著 syslog-ng 會認為您的所有日誌文件都是新的，並將所有消息重新發送到您的 NAS。

較新版本的 syslog-ng 有一個名為 read-old-records() 的選項可以防止這種行為。

問候，羅伯特·布萊克

引用自：https://serverfault.com/questions/734267