Выполните mmc.exe на компьютере, Вы подозреваете и добавляете Результирующий Набор обрыва политики. Работы RSOP через все политики, говорит то, что настройки в действительности и какая Групповая политика указала их. Это в широком масштабе полезно для проверки проблем GP.
John Rennie
Вы поворачиваете свои журналы? Это, вероятно, будет Вашим лучшим планом действий. Используя logrotate делает действительно легким сохранить старые журналы, сжать их, если Вы хотите и сохраняете их столько, сколько Вы хотите.
"/export/log/non-local/mail.log" { daily rotate 7 missingok postrotate /etc/init.d/syslog-ng reload >/dev/null endscript compress notifempty } "/export/log/non-local/lab-submit" { rotate 5 monthly postrotate /etc/init.d/syslog-ng reload >/dev/null endscript notifempty }
Это - отрывок одного из моих logrotate файлов. Первая строка файла конфигурации поворачивает почтовый журнал каждый день, сохраняя старые копии в течение семи дней. "missingok" означает, что проигнорирует файл, если это не будет, где он, как предполагается, находится. Постповорачивание... раздел endscript содержит команды, которые будут выполнены после того, как файл был повернут. Сжатие очевидно, значение по умолчанию является gzip. Можно изменить сжатие с помощью чего-то как
compresscmd /usr/bin/bzip2 compressext .bz2
Лаборатория утверждает, что журнал повернут один раз в месяц и сохранен в течение 5 месяцев.
Я надеюсь, что это помогает. Я предполагаю (очевидно), что Вы в настоящее время не поворачиваете свои журналы, что Вы запускаете некоторый Linux, и что Вы хотели бы использовать logrotate, в зависимости от своего дистрибутива и типа журнала, Вы не могли бы хотеть использовать logrotate. Если какое-либо из моих предположений является неправильным, сообщите мне, и я попытаюсь пересмотреть свой ответ.
Мой общий план действий, зависит от суммы диска I, может удобно поддержать для получения информации о журнале, при контакте с тем время от времени катастрофического события отладки, которое может вызвать значительное увеличение использования дискового пространства.
Удаленный вход, всегда, из-за следующего:
На центральном сервере сохраните журналы, пока Вы думаете, необходимы (или требуются, чтобы). Я обычно держу на [сжатые] журналы между 6 и 12 месяцами для того, чтобы отклониться, но 1 или 2 месяца могут быть хорошо для Вас.
Локальный вход и вращение:
Локальный вход сохраняет Вас застрахованными на всякий случай, Вы теряете сетевое соединение в какой-то момент.
Для определенных вещей я хочу держать на журналы в течение долгого времени - например, мои апачские журналы для исторического интереса. Но даже там, у меня есть a cron
задание, работающее каждый день и/или неделя, чтобы сделать простой анализ уникальных посетителей, который отправляется по почте в учетную запись Gmail, которую я установил только для такой вещи.
Однако мой общий подход - то, что я не хочу или нуждаюсь в большинстве данных в тех журналах, возвращающихся больше, чем несколько дней.
Я уже знаю, что никогда не собираюсь "обходить tuit" когда дело доходит до выполнения любого построения графика или исторического анализа, потому что, откровенно говоря, я слишком занят, делая мое "реальное" задание :)
Если Вы выполняете a syslog
коллектор, Вы, возможно, должны держать на те журналы дольше - просто, потому что они захватывают все с однако многих серверов, от которых Вы собираетесь.
В прошлый раз у меня был a syslog
установка сервера, у нас была пара старого DL180s с жесткими дисками на 18 ГБ под управлением Ubuntu. Оба перекрестные смонтированные другой через nfs (<othersys>/path/to/log @ <currentsys>/path/to/backup
).
Мы ежедневно поворачивали наши журналы, сжимаясь через bzip2
. Когда хит дискового пространства> используемых 90%, мы отбросили бы самый старый файл.
Это было упомянуто прежде*, но можно также хотеть исследовать журнал анализатор, такой как эпилог или Splunk как компонент политики журнала.
Что такое разумная политика журналов?
Ну, в реальном мире деньги на отсутствие и время имеют тенденцию мешать; но вот первоочередные задачи, по моему скромному мнению:
a) Соберитесь входит в систему центральный репозиторий. Соберитесь входит в систему одно безопасное место, к
b) Используйте поиск в реальном времени и фильтрующий, чтобы нарезать и поставить на карту данные логов при необходимости.
c) Настройте предупреждения. Настройте значимые предупреждения для своей системы. Это имеет много перекрытия с другими системами, такими как Munin или Nagios; они могут сделать в значительной степени то же. Какая система Вы предпочтете предупреждать, что Вы будете делом вкуса и индивидуальными обстоятельствами.
d) Сохраните все в течение по крайней мере 90 дней. Можно выбросить менее важные данные больше чем после 90 дней, если Вы должны, но Вы, возможно, не должны. Например, при использовании MySQL с механизмом Хранения архивов для исторических данных затем можно сохранить большие объемы данных дешево, но главным образом только для чтения и с плохой индексацией. Деление данных в "горячем" и "почти строке" может работать хорошо.
Хорошие и дешевые системы, которые включают вышеупомянутое? Я все еще ищу. Решения кажутся разделенными в два, по моему скромному мнению: 1) открытый исходный код / дешевые системы на основе базы данных и некоторых сценариев и 2) большой enterprisey' we-help-you-with-regulatory-compliance системы, которые являются дорогими. Ни один просто не кажется правильным для меня.