Jump to content

Посоветуйте syslog

alibek
 Share

Recommended Posts

alibek

alibek

Posted
Posted

Когда-то давно выбирал для FreeBSD, тогда колебался между rsyslog и syslog-ng.

Причин уже не помню, но тогда выбрал syslog-ng.

Сейчас нужен syslog на другой сервер, который будет собирать много сообщений со множества сетевых устройств (коммутаторы доступа).

Необходимости в БД не вижу, писать логи думаю в текстовые файлы, группируя их по датам.

Что посоветуете?

Сейчас бегло погуглил, а победителя по прежнему нет, каждый выбирает на свой вкус.

Сервер работает под Debian, в котором rsyslog используется штатно.

Однако ведь я выбрал почему-то syslog-ng раньше, хотя и не помню уже причины.

ЕМНИП у него конфигурация более логичная и можно использовать общую конфигурацию для логгирования со множества хостов, а в rsyslog с этим было хуже, но точно уже не помню.

alibek

alibek

Posted
  • Author
Posted

Вообще в планах он есть, на замену Cacti.

Но пока мне нужен чистый syslog, и мне кажется, что специализированный будет лучше работать.

rz3dwy

rz3dwy

Posted
Posted

syslog-ng умеет писать в БД, хотя это вам и не нужно и на мой взгляд, у него более читабельный конфиг. Но как вами и сказано, тут дело вкуса. Ставьте то, где умеете правильно настроить фильтры по facility, severity, hostname|ip и какие-то свои правила сортировки.

s.lobanov

s.lobanov

Posted
Posted

syslog-ng полностью покрывает фичи rsyslog и умеет намного больше. не вижу смысла использовать rsyslog, кроме какие-то особых случаев (остуствие syslog-ng в дистрибутиве и т.п.)

Night_Snake

Night_Snake

Posted
Posted

А читать вы эти логи как-то планируете потом?

Спрашиваю потом, что ушёл от syslog-ng по причине отсутствия вменяемой веб-морды (да, можно написать, но зачем7!) на graylog2.

alibek

alibek

Posted
  • Author
Posted

Да я особо эти логи читать и не планирую, во всяком случае пока нет сбоев и проблем.

Настрою уведомления на некоторые типы сообщений.

И в случае каких-либо инцидентов буду изучать логи с помощью grep.

alibek

alibek

Posted
  • Author
Posted

Что-то syslog-ng себя ведет странно.

С хоста приходит такая строчка:

Msg: SEP 22 17:25:08 SW127: CONFIG-7-LOGIN-A:user: cyber Login  FROM IP:10.1.144.3\0x0d\0x0a

(смотрел tcpdump)

А в лог макрос ${ISODATE} пишется как:

2016-12-22T17:26:26+03:00

 

Почему SEP превращается в декабрь?

s.lobanov

s.lobanov

Posted
Posted

alibek

RFC сейчас лень читать, но проверьте с других устройств. Месяцы в syslog-е обычно пишутся с заглавной, а потом маленькие, типа Sep. Возможно что в коде syslog-ng идёт switch-case и default это декабрь, гляньте исходники

Night_Snake

Night_Snake

Posted
Posted

А есть какой-нить сислог сервер, который конфиг может читать из базы? Чтобы при добавлении в систему мониторинга можно было сразу и в сислог добавить его?

у Graylog конфиг хранится в монге. Может и API есть.

  • 1 month later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.