[alibek]

Когда-то давно выбирал для FreeBSD, тогда колебался между rsyslog и syslog-ng.

Причин уже не помню, но тогда выбрал syslog-ng.

Сейчас нужен syslog на другой сервер, который будет собирать много сообщений со множества сетевых устройств (коммутаторы доступа).

Необходимости в БД не вижу, писать логи думаю в текстовые файлы, группируя их по датам.

Что посоветуете?

Сейчас бегло погуглил, а победителя по прежнему нет, каждый выбирает на свой вкус.

Сервер работает под Debian, в котором rsyslog используется штатно.

Однако ведь я выбрал почему-то syslog-ng раньше, хотя и не помню уже причины.

ЕМНИП у него конфигурация более логичная и можно использовать общую конфигурацию для логгирования со множества хостов, а в rsyslog с этим было хуже, но точно уже не помню.

[EShirokiy]

Можно заббикс приспособить

[alibek]

Вообще в планах он есть, на замену Cacti.

Но пока мне нужен чистый syslog, и мне кажется, что специализированный будет лучше работать.

[rz3dwy]

syslog-ng умеет писать в БД, хотя это вам и не нужно и на мой взгляд, у него более читабельный конфиг. Но как вами и сказано, тут дело вкуса. Ставьте то, где умеете правильно настроить фильтры по facility, severity, hostname|ip и какие-то свои правила сортировки.

[s.lobanov]

syslog-ng полностью покрывает фичи rsyslog и умеет намного больше. не вижу смысла использовать rsyslog, кроме какие-то особых случаев (остуствие syslog-ng в дистрибутиве и т.п.)

[Night_Snake]

А читать вы эти логи как-то планируете потом?

Спрашиваю потом, что ушёл от syslog-ng по причине отсутствия вменяемой веб-морды (да, можно написать, но зачем7!) на graylog2.

[alibek]

Да я особо эти логи читать и не планирую, во всяком случае пока нет сбоев и проблем.

Настрою уведомления на некоторые типы сообщений.

И в случае каких-либо инцидентов буду изучать логи с помощью grep.

[FATHER_FBI]

log analayzer

[alibek]

Это избыточно, мне возможностей syslog-ng вполне хватит.

[sirmax]

ELK если хотите комбайн с вебмордой и базой

[morfair]

log analayzer

Такая не оптимизированная штука...

[alibek]

Что-то syslog-ng себя ведет странно.

С хоста приходит такая строчка:

Msg: SEP 22 17:25:08 SW127: CONFIG-7-LOGIN-A:user: cyber Login  FROM IP:10.1.144.3\0x0d\0x0a

(смотрел tcpdump)

А в лог макрос ${ISODATE} пишется как:

2016-12-22T17:26:26+03:00

 

Почему SEP превращается в декабрь?

[s.lobanov]

alibek

RFC сейчас лень читать, но проверьте с других устройств. Месяцы в syslog-е обычно пишутся с заглавной, а потом маленькие, типа Sep. Возможно что в коде syslog-ng идёт switch-case и default это декабрь, гляньте исходники

[alibek]

Видимо да.

Решил тем, что выключил сохранение временных меток от клиента и везде использую макросы R_.

[VolanD666]

А есть какой-нить сислог сервер, который конфиг может читать из базы? Чтобы при добавлении в систему мониторинга можно было сразу и в сислог добавить его?

[Night_Snake]

А есть какой-нить сислог сервер, который конфиг может читать из базы? Чтобы при добавлении в систему мониторинга можно было сразу и в сислог добавить его?

у Graylog конфиг хранится в монге. Может и API есть.

[mutin.sa]

Graylog2

[BETEPAH]

Если ещё актуально, то:

https://habrahabr.ru/post/213519/