Moin, Stefan...
On Sat, Mar 08, 2008 at 08:08:33AM +0100, Stefan Kremer wrote:
> ich möchte einen zentralen Server für die log Files von anderen Systemen
> aufsetzen.
Machen wir hier auch. Hat diverse Vorteile. Wenn mal eine Platte
abraucht oder man einen Einbruch vermutet und man noch die letzte
Logfiles sehen möchte, ist das nützlich. Oder wenn man Logfiles zur
möglichen Strafverfolgung für eine Weile aufbewahren muss.
> Howto's zu remote logging über syslog-ng habe ich gelesen und nach den
> Howto's erfolgreich aufsetzen können. Ich möchte jedoch auf diesem
> zentralen Log Server nicht nur die Events von syslog speichern, sondern
> auch die logs von der Firewall oder Apache2, Postfix, etc. um sie dort
> durch entsprechende Tools analysieren zu können.
Postfix loggt über Syslog. Das schiebst du einfach an den syslog-ng und
machst dort einen Filter-Eintrag. Wir sichern jeden Host einzeln. Mit
file("/home/log/$HOST/mail.log")
kannst du dann automatisch ein Verzeichnis pro Server anlegen und
schiebst die Postfix-Logs da rein. Firewall-Logs (sofern du iptables
benutzt) ist auch kein Problem - hier schiebst du einfach die Daten des
kern.log an den zentralen Syslog-Server
Apache-Logs würde ich nicht über Syslog schieben, denn Syslog ist UDP
und die Größe der Zeilen ist begrenzt, so dass erfahrungsmäßig gerne mal Daten
abgeschnitten werden. Dann mounte dir lieber über NFS die
/var/log-Verzeichnisse und schreibe eine kleine Shell-Datei, um die
Dateien runterzukopieren. Die kannst du dann auch genauso automatisiert
mit awstats analysieren. mailgraph musst du vermutlich beibringen, dass
er nicht /var/log/mail.log auswerten soll, sondern andere Logfiles.
Gruß,
Christoph
--
email@christoph-haas.de www.workaround.org JID: chrish@jabber.workaround.org
gpg key: 79CC6586 fingerprint: 9B26F48E6F2B0A3F7E33E6B7095E77C579CC6586