Re: Log & Monitoring Server
On 2003.09.23 at 14:24:21 +0500, BeerBong wrote:
> Доброе время суток!
>
> Я, собственно, уже обращался с подобным вопросом сюда, но толи вопрос
> поставил неправильно, толи подошел не с той стороны -- решения не
> получил.
>
> Хочется построить централизованный лог сервер с последующим мониторингом
> логов по типу logcheck. Причем хочется именно централизованный сервер,
> т.к. расписывать правила по 6 серверам и синхронизировать их -- надоело,
> да и отчеты которые приходят со всех машин хотелось бы свести в один.
man syslog на тему -r.
> Изначально планировал расшарить по самбе /var/log каталог на каждом
> сервере и обрабатывать эти логи с одной машины. Не проходит такой
> вариант, т.к. иноды на smbfs (впрочем как и на другой сетевой файловой
> системе) не совпадают с инодами реальных файлов, да и изменения инодов в
> зависимости от изменения инодов реальных файлов несихронны. logtail из
> пакета logcheck, естественно от этого зависит и поэтому получает лажа.
Есть две хорошие эвристики:
1. Никогда не используй самбу для общения между двумя юниксами. В
крайнем случае NFS
2. Никогда не используй протоколов доступк на уровне файловой системы,
если можно обойтись менее кардинальными мерами. Сначала попробуй
воспользоваться специализированными протоколами, если таковые бывают (в
данном случае syslog). Если это не помогает, используй протоколы
удаленного выполнения команд (rsh, ssh).
> Настроить форвардинг syslog -- не проблема и это уже сделано, но это
> далеко не все логи, которые хотелось бы обрабатывать.
Почти все, кого ты перечислил могут быть обучены писать в syslog.
> С какого конца подойти к проблеме?
> Переделать logcheck на использование даты модификации файла или других
> параметров?
> Пересылать изменившуюся часть логов со всех машин на центральную
> каким-то образом?
Я бы рассмотрел вариант пересылки свежеотротированного лога по rcp/scp.
Reply to: