Централизованное отслеживание журнала [закрыто]
Logwatch действительно полезен для меня, но мне очень утомительно просматривать все электронные письма.
Есть ли какой-либо инструмент или решение, которое объединяет все ежедневные отчеты в один и позволяет легко перемещаться по ним?
Спасибо.
Мы просто устанавливаем центральный сервер входа, затем передаем все записи системного журнала в тот сервер и просто выполняем logwatch на том сервере.
-
1logwatch может в этом случае распознать различные машины? – SyRenity 3 January 2010 в 01:58
-
2Я имею в виду, показываю в выводе, что журналы от различных машин? – SyRenity 3 January 2010 в 02:20
-
3Да, имя хоста машины, которая сгенерировала сообщение журнала, находится во всех записях системного журнала, как Вы видите путем рассмотрения любого управляемого системным журналом файла журнала. – womble♦ 3 January 2010 в 04:56
Дать пример ответа Zypher, что я делаю, передать *.debug кому: @loghost на всех узлах. loghost узел выполняет системный-журнал-ng, который имеет способность разделить исходной системой. (Я предполагаю, что другие современные замены системного журнала как rsyslog могут сделать подобные вещи.)
У меня есть демонстрационный файл системного-журнала-ng.conf для solaris, но менять его, чтобы быть для Linux не слишком трудно.
Как Вы видите, мы также передаем все входящие сообщения в единственный файл. Это позволяет нам работать ночью (или более часто при необходимости) сообщающий относительно единственного места, но во время отладки или судебных операций мы можем просто посмотреть на рассматриваемую систему.
Другое преимущество входа всех сообщений в единственный файл - то, что упорядочивание событий через несколько систем легче определить, поскольку тот файл записан временем поступления. Это означает, что Ваши часы не должны составлять 100%, синхронизируемых для выяснения последовательности событий (хотя, конечно, который должен всегда быть целью, неважно, насколько недосягаемый это).
-
1