お世話になっております。
サーバ:v4.0
エージェント:v4.0.44
OS:RHEL8.6
上記、構成で logrt にてログ監視を行っております。
以下のような条件式を使用しております。
条件式:logrt[/work/log/Error.*.log,@REGEXP01,,,skip].regexp(..*)}<>0
対象ログのローテーションは「Error.logYYYYMMDD.bak」の形式に cp -p コマンドでコピーする方式です。
なおコピー後 null クリアはせず、同内容のログを保持したまま追記されることになります。
ローテーション後のファイル名は条件式に当てはまらないため、監視対象とならない認識なのですが、
ローテーションしたタイミングでファイルを頭から読み直しているようで、過去のログが検知されております。
copytruncate を使用することも検討しておりますが、まず検知されているロジックを究明したく
皆様のお知恵を拝借できれば幸いです。
以上、よろしくお願いいたします。