Вопросы Теги

как управлять всем / var / log для централизации? [закрыто]

У меня есть несколько серверов (Linux, различные дистрибутивы, управляемые разными людьми), журналы которых я хотел бы централизовать в splunk> . Журналы собираются в / var / logs , но источники либо обновляют их напрямую (например, Apache), либо через rsyslog .Другими словами, я могу предположить, что журналы будут на месте, но способ их отображения не определен (и меняется между серверами).

Поэтому я ищу способ обрабатывать / var / logs в целом , генерируя дневную дельту, которую я затем отправляю в splunk>. Я могу написать сценарий, который будет делать такие вещи (анализировать дерево, собирать файлы, добавлять в архив, обнулять их и т. Д.), Но я уверен, что эта проблема уже решена лучше (что-то вроде logrotate , но для всего каталога)

(Примечание: следя за комментариями, я хочу подчеркнуть тот факт, что у меня нет контроля и знаний о файлах, которые будут созданы в / var / log . В частности, я не хочу полагаться на решения, которые требуют от меня настройки файла постоянного журнала с помощью файла журнала)

0
задан 13 June 2014 в 15:19
2 ответа

У вас должна быть возможность сделать это, используя rsyslog в вашей системе для отправки всех журналов на централизованный сервер журналов.

  • Для приложений, которые ведут журнал через системный журнал, это довольно просто.
  • Для приложений, которые ведут журнал непосредственно в файлы, rsyslog предоставляет модуль Монитор ввода текстового файла , который отправляет строки из текстового файла в rsyslog для обработки .

Что касается logrotate, его довольно просто настроить, но вам придется проанализировать каждый файл журнала и соответствующим образом настроить logrotate.

3
ответ дан 4 December 2019 в 11:50

Я использую splunk в своей работе для обработки логов с кучки серверов, некоторых линуксов и некоторых windows

Настоятельно рекомендую вам посмотреть на splunk универсальный форвардер. С его помощью вы можете выбирать, какие журналы отправлять, и, по сути, вы можете создать любой сценарий обработки журналов, Его гораздо проще настроить, чем rsyslog, есть сервер развёртывания, который может помочь вам в управлении форвардерами в дальнейшем,

Посмотрите на splunk-сайт, есть простое объяснение, как начать его использовать

Надеюсь, он вам поможет,

.
1
ответ дан 4 December 2019 в 11:50

Теги

Похожие вопросы