>Попробовать надо покопаться там где "работает" конкретный 2007 год. Сам пока не
>нашел, точнее не искал. Завтра посмотрю. У вас наверняка не просто syslogd, а какой-нибудь продвинутый, который уже может год писать (это вполне разумно и это стоило сделать лет 20 назад разработчиках Unix), поэтому попробуйте включить протоколирование полных дат и покажите кусочек нового журнала. Тогда я просто добавлю новый формат, вроде Postfix/Syslog-NG и все будет работать корректно. Проблема в том, что невозможно узнать сколько времени журнал использовался и не использовался. Например, первая запись была оставлена в октябре 2007, а вторая в октябре 2008, и в этом случае невозможно уже ничего угадать. Это особенно проявит себя на журналах, которые несколько лет не ротировались (бывает и такое).
>>>Sep 30 00:00:00 my-host newsyslog[88535]: logfile turned over
>Это действительно демон newsyslog. Это достаточно корректно для ротации журналов (squid, Postfix
>Временно, конечно проблемы мной решены - Perl рулит - вырезаем ненужное... Но
>при этом теряется сама идея скорости подготовки отчета: приходится достаточно ресурсоемко
>и долго производить предварительную обработку _копий_ логов.
Опция 'b' в newsyslog.conf напротив access.log поможет не делать этой лишней работы. Но если все-таки очень хочется оставить эти строки, то можете попробовать подавать журналы через pipe (см. пример с mkfifo в Free-SA FAQ). В последнем случае придется делать что то вроде cat access.log|grep -v "my-host newsyslog">/tmp/free-sa-pipe &