我们使用的是来自nagios插件的check_log来监视日志,但问题在于,即使我们每小时轮换一次日志,大日志文件也会导致内存和CPU使用率出现明显的高峰。
这是因为check_log使用diff来比较旧版本的日志文件和当前版本。
问题是,没有检查所有check_log替代的来源,是否有任何不使用差异,但例如跟在最后检查的linenumber并从那里检查?
check_logfiles插件是你在找什么:
当发生这样的日志文件旋转时,check_logfiles会检测到这一点并分析归档日志文件的行,即使它是压缩的。
按计划检查日志文件不是一个非常有效的方法。 虽然编写一个可以跟踪文件中最后一个偏移量的位置并处理旋转的插件是可行的,但更简单的方法是对日志文件运行filter守护进程 – 有很多这样的工具可用。
(您仍然可以使用nagios来处理这些工具的输出以进行报告/跟踪)