Rsyslog & logrotate

1. Créer le fichier de conf rsyslog /etc/rsyslog.d/nftables.conf
2. Ajouter la configuration :

   :msg, regex,"^.*Nftables_drop " -/var/log/nftables.log
   & stop  # Permet d'éviter que les lignes matchées ne soient ajoutées dans le syslog

3. Redémarrer Rsyslog :

   systemctl restart rsyslog

1. Création du fichier de conf /etc/logrotate.d/nftables.conf
2. Ajout de la configuration :

   /var/log/nftables.log {
     daily
     rotate 7
     size 100M
     compress
     delaycompress
     missingok
     notifempty
     postrotate
        service rsyslog rotate >/dev/null
     endscript
   }

3. Recharger la conf de logrotate :

   logrotate -f  /etc/logrotate.conf

Détail des options :

1. daily : logrotate génère une rotation une fois par jour.
2. rotate 7 : signifie qu'à chaque intervalle, on conserve 12 mois de journalisation.
3. size : taille maximum de chaque fichier de log. Tout dépassement de cette taille entraine une rotation.
4. compress & delaycompress : les fichiers de logs peuvent être compressés au format gzip en spécifiant 'compress' et, 'delaycompress' retarde le processus de compression jusqu'à la prochaine rotation. 'delaycompress' ne fonctionnera que si l'option 'compress' est clairement spécifiée.
5. missingok : permet au processus de ne pas s'arrêter à chaque erreur et de poursuivre avec le fichier de log suivant.
6. notifempty : empêche la rotation de s'effectuer si le fichier de log est vide.
7. postrotate/endscript : les directives entre postrotate et endscript sont exécutées avant la rotation du log

Extrait de https://doc.ubuntu-fr.org/logrotate#configuration CC BY-SA