目前我有一个相当大的syslog-ng集群设置,这是我的主要日志集合点。 我需要能够确认某些日志并将其标记为审核目的。 比如所有失败的sudo尝试。 我可以很容易地将我感兴趣的日志发送到特定的文件夹,程序或电子邮件,但是想知道你们用于审计的方面。 目前我发送他们到一个MySQL数据库,并在它显示的日志,我可以点击确认,并添加评论,如果我喜欢它。 虽然这种方法的工作,我想要一些更专业的外观。 我曾经考虑过将它们绑定到一个开源的票务系统,并在审查后closures它们,但希望其他人的意见。
谢谢,
埃里克
一个select是通过logstash提供日志。 使用匹配规则匹配所需的消息,然后使用logstash电子邮件输出为每条消息创build票据。