15.6. 原木旋转

中的所有输出 outputs 配置文件的部分可以进行日志旋转。

对于大多数输出，外部工具 轮替 需要旋转日志文件，同时向Suricata发送叹息通知日志文件已旋转。

在收到叹息后，Suricata只需关闭所有打开的日志文件，然后以追加模式重新打开它们。如果外部工具重命名了任何日志文件，则将创建新文件，否则将重新打开这些文件，并将新数据附加到这些文件中，不会产生明显的影响。

下面是一个例子 轮替 将旋转Suricata日志文件的配置文件，然后发送Suricata一个叹息，触发Suricata以打开新文件：

/var/log/suricata/*.log /var/log/suricata/*.json
{
    rotate 3
    missingok
    nocompress
    create
    sharedscripts
    postrotate
            /bin/kill -HUP `cat /var/run/suricata.pid 2>/dev/null` 2>/dev/null || true
    endscript
}

注解

以上 轮替 配置文件取决于Suricata PID文件的存在。如果以守护程序模式运行，则默认情况下将创建一个pid文件，否则 --pidfile 选项应用于创建PID文件。

除了上面讨论的叹息式旋转之外，一些输出还支持自己的基于时间和日期的旋转，但是删除旧日志文件仍然是外部工具的责任。这些输出包括：

• Eve

• PCAP log