我有一个在美国和英国的几个网站上分割的Web应用程序。 当我们遇到问题时,我希望能够查看来自两个站点的sorting错误日志。
所以我正在考虑这样做
1)在每个站点build立一个splunk服务器
2)将1作为货运代理给另一方
3)将站点1的所有错误系统日志和警告转发到站点2
当出现问题的时候,我会把站点1的所有apache日志导入到本地的splunk中,然后将它们转发到站点2,用所有现有的日志进行分析。
Q1)这是否合理使用免分配许可证?
Q2)通过互联网发送错误和警告级别的服务器系统日志是否合理? 即性能和带宽明智
最好是添加第三台机器(不是很强大),专门用于日志收集和收集日志。 这是简单/安全/高效等,否则你会在两台机器(发送,接收)开销。
你有什么平均的日志stream量? 是免费使用,这是非常好的。 限制是您只能索引500 MB /天,并且您没有启用所有function。 但只是为了debugging它是完美的。
Splunk不幸的是不支持分布式search。 但是如果你按照我以前告诉过的方式做,你可以把两个站点的日志在一个分段服务器上索引,并且互相关联。
另外,如果你使用rsyslog作为系统日志pipe理器,你有太多的function,我怀疑如果splunk支持他们(让我们诚实… splunk它更专注于日志分析,而不是日志传输)
Nikolaidis说了什么,虽然你可以运行这个第三个盒子作为你的Splunk服务器,并将每个networking服务器的Syslog主机设置为它的IP。
至于过境,希望Splunk支持TCP / TLS(并且你的服务器也是这样做的,尽pipe你可以在本地运行rSyslog;我知道它的确如此),你可以通过(更可靠的)TCP和TLS到您的中央Splunk服务器比纯文本UDP。
我还build议在Syslog服务器上进行数据包过滤,只允许来自两个Web服务器的连接。