服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 集中日志是一个好主意吗?
Intereting Posts
php5-fpm最大化所有内核(nginx + php5fpm + wordpress) 在Tomcat的虚拟主机的主机别名中使用通配符 CPU关联的编号scheme PHPconfiguration文件不会加载IIS7 x64 如果下载中断,PHP + Fcgid会挂起 有可能有一个networking服务器的某个子文件夹来自不同的服务器? EFI与MBR – 在8TB上安装Windows Server 2008 R2或2012 Nagios报告计划任务返回没有退出代码dtexec 在ISPCONFIG 3网站上安装Ruby On Rails应用程序(fedena) DHCP:DHCPREQUEST问题 Dovecot在不同的界面上监听不同的服务 如何确保代理没有身份validation? 当select的时钟源是Hyper V时,Linux内核抱怨TSC RDS上的Office 365 ProPlus 移动SSL证书

集中日志是一个好主意吗?

目前,我的组织拥有一个由10个以上组件组成的解决scheme,其中一些每个线程都有一个日志文件。 由于文件每小时旋转,跟踪所有这一切是一件苦差事。

集中所有日志logging到特定的机器(使用rsyslog或类似的东西)是一个好主意? 我不会为了忙碌而交易简单吗? 这个高容量的用例有很好的日志查看器吗?

顺便说一下,我们是一家直销微软的商店。

感谢您的回复!

我build议你看看Splunk 。

我目前正在生产中,有30多个networking设备login到它 – 在一个地方有日志是非常有用的,我可以写我自己的查询,运行jar头报告等。

集中式日志的一大优点是:

  • 如果您的某台计算机受到威胁, 并且更改了日志以隐藏该事实 ,则您的中央日志logging服务器上仍然会有未被篡改的副本。

另一个是:

  • 在我的情况下,我的工作站上还有一个专门的监视器,它运行在中央日志logging服务器上,实时显示任何优先级为“警告”或更高级别的日志,这样我就可以立即处理任何问题。 (希望在最终用户注意之前:))。 没有中央服务器就很难做到这一点。

看一下eventsentry,不是很贵的less数许可证,可以设置好的filter和警报等。

如果您的日志服务器位于安全位置,集中式日志logging始终是一个好主意。

你看过Splunk和/或Spiceworks吗?

http://www.splunk.com http://www.spiceworks.com

我们的AD DC安全日志在忙碌的时候每天要经过3-5GB的日志,而且地球上根本没有办法通过本地工具与他们做任何事情。 需要某种日志parsing器来理解它们。 我在PowerShell中从头编写过一个,最近我们看了Splunk。 Splunk可以跟上洪水,并且跟上我们的networking设备系统日志数据(几乎和智能体积一样大)。 全部在一个数据库中。 这将需要一个强大的服务器来咀嚼这种数据负载,但这是一个可以解决的问题。 目前我们正在等待正确的黑暗仪式来完成,所以我们可以获得一个集中的日志环境的资金。

有一个“单一的玻璃窗”作为数据的视图是一件好事。 你不会得到的是一个更新的文本文件,然后你可以尾巴syslog风格。 你会得到一个丰富的查询系统的接口,(我相信)为自己的networking前端编写自己的恶意需求的API。

当涉及到Windows事件日志数据时,Splunk不会提取这些事件的XML版本,它将提取每个事件的“详细视图”文本版本并parsing它。 我对那里的规模有了一些真正的担心,但是当我设法跟上我们的伐木负荷时,我感到惊喜。 我不得不用我的PowerShell脚本去XML,因为文本parsing太长了。