alibek Опубликовано 21 сентября, 2016 · Жалоба Когда-то давно выбирал для FreeBSD, тогда колебался между rsyslog и syslog-ng. Причин уже не помню, но тогда выбрал syslog-ng. Сейчас нужен syslog на другой сервер, который будет собирать много сообщений со множества сетевых устройств (коммутаторы доступа). Необходимости в БД не вижу, писать логи думаю в текстовые файлы, группируя их по датам. Что посоветуете? Сейчас бегло погуглил, а победителя по прежнему нет, каждый выбирает на свой вкус. Сервер работает под Debian, в котором rsyslog используется штатно. Однако ведь я выбрал почему-то syslog-ng раньше, хотя и не помню уже причины. ЕМНИП у него конфигурация более логичная и можно использовать общую конфигурацию для логгирования со множества хостов, а в rsyslog с этим было хуже, но точно уже не помню. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 21 сентября, 2016 · Жалоба Можно заббикс приспособить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 сентября, 2016 · Жалоба Вообще в планах он есть, на замену Cacti. Но пока мне нужен чистый syslog, и мне кажется, что специализированный будет лучше работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 21 сентября, 2016 · Жалоба syslog-ng умеет писать в БД, хотя это вам и не нужно и на мой взгляд, у него более читабельный конфиг. Но как вами и сказано, тут дело вкуса. Ставьте то, где умеете правильно настроить фильтры по facility, severity, hostname|ip и какие-то свои правила сортировки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 сентября, 2016 · Жалоба syslog-ng полностью покрывает фичи rsyslog и умеет намного больше. не вижу смысла использовать rsyslog, кроме какие-то особых случаев (остуствие syslog-ng в дистрибутиве и т.п.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 22 сентября, 2016 · Жалоба А читать вы эти логи как-то планируете потом? Спрашиваю потом, что ушёл от syslog-ng по причине отсутствия вменяемой веб-морды (да, можно написать, но зачем7!) на graylog2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 сентября, 2016 · Жалоба Да я особо эти логи читать и не планирую, во всяком случае пока нет сбоев и проблем. Настрою уведомления на некоторые типы сообщений. И в случае каких-либо инцидентов буду изучать логи с помощью grep. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 22 сентября, 2016 · Жалоба log analayzer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 сентября, 2016 · Жалоба Это избыточно, мне возможностей syslog-ng вполне хватит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 22 сентября, 2016 · Жалоба ELK если хотите комбайн с вебмордой и базой Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morfair Опубликовано 22 сентября, 2016 · Жалоба log analayzer Такая не оптимизированная штука... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 сентября, 2016 · Жалоба Что-то syslog-ng себя ведет странно. С хоста приходит такая строчка: Msg: SEP 22 17:25:08 SW127: CONFIG-7-LOGIN-A:user: cyber Login FROM IP:10.1.144.3\0x0d\0x0a (смотрел tcpdump) А в лог макрос ${ISODATE} пишется как: 2016-12-22T17:26:26+03:00 Почему SEP превращается в декабрь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 сентября, 2016 · Жалоба alibek RFC сейчас лень читать, но проверьте с других устройств. Месяцы в syslog-е обычно пишутся с заглавной, а потом маленькие, типа Sep. Возможно что в коде syslog-ng идёт switch-case и default это декабрь, гляньте исходники Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 сентября, 2016 · Жалоба Видимо да. Решил тем, что выключил сохранение временных меток от клиента и везде использую макросы R_. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 26 сентября, 2016 · Жалоба А есть какой-нить сислог сервер, который конфиг может читать из базы? Чтобы при добавлении в систему мониторинга можно было сразу и в сислог добавить его? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 26 сентября, 2016 · Жалоба А есть какой-нить сислог сервер, который конфиг может читать из базы? Чтобы при добавлении в систему мониторинга можно было сразу и в сислог добавить его? у Graylog конфиг хранится в монге. Может и API есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mutin.sa Опубликовано 14 ноября, 2016 · Жалоба Graylog2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 15 ноября, 2016 · Жалоба Если ещё актуально, то: https://habrahabr.ru/post/213519/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...