我已经设置了一个将事件写入MySQL数据库的中央rsyslog服务器。
仔细观察事件,可以看到所有可能不必要的事件。
在RHEL / CentOS系统上,我看到并正在考虑丢弃以下内容(采用rsyslog.conf格式):
:msg,包含“(root)CMD(run-parts /etc/cron.hourly)”〜
:msg,包含“运行程序/ usr / sbin / rhn_check”〜
还有哪些其他types的信息可以被丢弃?
这完全取决于你自己的喜好。 毕竟,远程系统日志服务器上的日志中没有任何内容对于保持原始服务器运行至关重要。
我个人不会放弃太多的东西,因为你永远不知道你可能需要排除故障或进行取证。 存储相对便宜,并且日志压缩得非常好,所以我build议尽可能多地保留,并确定一段时间后,清除旧日志。 我不知道如何将它们存储在MySQL中时压缩日志。
如果您想要过滤日志,那么删除的候选对象将是后面分析的最小值的消息,例如您已经提到的每小时重复的消息。