我正在研究构build系统日志/日志logging基础结构,并且正在思考一些体系结构的最佳实践。 基本上,我看到一个系统日志系统需要支持两个冲突的工作负载: 日志收集。 需要将潜在的大量数据stream快速写入磁盘并编入索引。 日志查询。 日志将被固定的字段(如date和源文件以及文本search)查询。 什么是最好的磁盘/系统设置假设我想现在保持单个服务器? 我应该使用固态硬盘还是虚拟磁盘卸载一些处理? 一些磁盘在条纹和一些raid5? 我特别关注Graylog2和ElasticSearch / MongoDB
从php脚本发送输出从bash脚本调用到syslog 我试图创build一个bash脚本(由cron作业调用)调用一个php文件(我没有)。 调用php文件很简单。 PHP脚本输出了很多东西到标准输出,我想redirect输出从PHP脚本logging器,以便我可以监视我的远程系统日志服务器的进度。 我试过类似的东西: PHP_SCRIPT_PATH="/some/path" ME= basename $0 LOGGER="logger -p cron.notice -t $ME" cd $PHP_SCRIPT_PATH php the_php_script.php &> eval $LOGGER 还试过: php the_php_script.php | eval $LOGGER 但是都没有工作。 我考虑过的另一个可能的解决scheme是将输出从php脚本输出到日志文件,然后让另一个bash脚本读取该文件并将每行写入logging器。 但我想有一个脚本,它做的一切:) 任何人都可以请帮忙?
我已经安装了OSSIM服务器,我想要检索由远程Nagios服务器生成的警报,以分析它们并执行安全事件的关联。 在实施之前,我想知道正确的做法是什么。 我是否需要configurationNagios才能将警报转发给OSSIM服务器? 那可能吗? 我需要在运行Nagios的机器上安装OSSEC代理吗? 如果是这样,我该如何configurationOSSEC和Nagios? 有没有其他解决scheme? 谢谢! 更新: 它“几乎”起作用,我可以看到NAGIOS警报通过rsyslog正确转发,但是OSSIM将它们视为系统日志的正常日志,因此不会使用NAGIOS插件进行处理。 由于我必须创buildOSSIM规则来关联NAGIOS警报,所以我绝对需要使用NAGIOS插件来对待NAGIOS警报。 下面是我提出的几种可能的解决scheme:开发一种插件来读取系统日志日志,提取来自远程NAGIOS的日志并将它们发送到OSSIM。 为OSSIM开发插件有多复杂? configurationOSSIM并将“embedded”NAGIOSreplace为远程的。 那可能吗? 如果是这样,怎么样? configurationOSSIM,使其可以使用两个NAGIOS,本地和远程。 那可能吗? 如果是这样,怎么样? 通过NSCA协议将远程NAGIOS的警报推送到本地。 这会工作吗? 创build分布式(DNX)NAGIOS系统,并将本地NAGIOSconfiguration为主,将远程configuration为从属。 这会工作吗? 你们有什么感想? 哪一个解决scheme可以工作? 你们有更好的主意吗? 谢谢。
今天我用nano /var/log/syslog我的日志 我有这个,我认为这不是很好: Aug 27 06:25:02 ks3309528 rsyslogd: [origin software="rsyslogd" swVersion="4.6.4" x-pid="2235" x-info="http://www.rsyslog.com"] rsyslogd was HUPed, type 'lightweight'. Aug 27 06:25:02 ks3309528 rsyslogd: [origin software="rsyslogd" swVersion="4.6.4" x-pid="2235" x-info="http://www.rsyslog.com"] rsyslogd was HUPed, type 'lightweight'. Aug 27 06:25:02 ks3309528 /USR/SBIN/CRON[3862]: (CRON) error (grandchild #3867 failed with exit status 1) Aug 27 06:25:02 ks3309528 /USR/SBIN/CRON[3862]: (CRON) info (No […]
我正在将(r)syslog服务器configuration为从各种客户端接收日志的远程服务器。 我想知道是否有一个更好的方法来dynamic生成多个文件名,而不是创build一个模板的任何facility.priority其文件名应该dynamic创build。 $template FILENAME,"/var/log/%fromhost-ip%/syslog.log" kern.* ?FILENAME 除此之外,我是否必须明确地告诉服务/守护进程使用TCP以便通过使用(r)syslogd的TCP进行日志logging? 就像当我closures服务器接收UDP数据包的能力时,它会停止logging任何东西。 或者换个说法: kern.* @loghost 不起作用。
我正在从一个专有的应用程序系统日志事件。 这可能是应用程序的错误,也可能是rsyslogd。 事件是这样写的: Aug 15 16:00:00 10.11.12.13 Event1 from this wonderful product using this odd Aug 15 16:01:00 10.11.12.13 format. Event2 from this wonderful product using Aug 15 16:02:00 10.11.12.13 this odd format. Event3 from this wonderful produ Aug 15 16:03:00 10.11.12.13 ct using this odd format. 你得到的照片。 系统日志中的每个logging是〜2000个字符。 我不确定这是TCP系统日志定义不清的问题吗? rsyslogd或syslog TCP上的任何专家是否有任何关于问题出现的build议? 是否有可能在rsyslogd方面可以解决这个问题? 或者这是TCP系统日志状态的正常混乱?
我的IT团队使用Tenable的日志关联引擎,我们的Linux服务器将syslog写入LCE。 有没有办法将我们的Tomcat和PostgreSQL应用程序日志写入LCE?
我试图站起来一个系统日志服务器接收来自一个networking设备的事件,但我似乎无法得到它实际login事件到磁盘。 我可以确认连接正在成功,rsyslogd正在获取事件,我只是不知道为什么它没有做任何事情。 唯一被logging的是rsyslogd本身的启动。 configuration和debugging输出如下,这最初是从rsyslog厨师食谱生成的,但我添加了一些调整,以解决它所抱怨的超级弃用的语法。 rsyslog.conf : $MaxMessageSize 2k $PreserveFQDN off $ModLoad imuxsock $ModLoad imklog $ModLoad imtcp $InputTCPServerRun 514 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $RepeatedMsgReduction on $WorkDirectory /var/spool/rsyslog $FileOwner root $FileGroup root $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 $IncludeConfig /etc/rsyslog.d/*.conf rsyslog.d/* : $DirGroup root $DirCreateMode 0755 $FileGroup root $template PerHostAuth,"/var/log/rsyslog/%HOSTNAME%/auth.log" $template PerHostCron,"/var/log/rsyslog/%HOSTNAME%/cron.log" $template PerHostSyslog,"/var/log/rsyslog/%HOSTNAME%/syslog" $template PerHostDaemon,"/var/log/rsyslog/%HOSTNAME%/daemon.log" $template PerHostKern,"/var/log/rsyslog/%HOSTNAME%/kern.log" $template […]
看来我的syslog生成的日志文件每天轮换两次。 我相信这是由于/etc/cron.daily/logrotate和/etc/cron.daily/sysklogd做重叠的工作。 以下是sysklogd脚本的相关行: logs=$(syslogd-listfiles) test -n "$logs" || exit 0 for LOG in $logs do if [ -s $LOG ]; then savelog -g adm -m 640 -u ${USER} -c 7 $LOG >/dev/null fi done 处理这个问题的最佳常见做法是什么? syslog生成的文件是否应该在logrotate中列出? 如果我想使用一些logrotate的更高级的function,像postrotate脚本 – 我应该尝试使/etc/cron.daily/sysklogd做到这一点,或者我应该注释掉这些行,让logrotate做到这一点?
什么是最好的方法来旋转nginx日志文件? 在我看来,我应该在/etc/logrotate.d/中创build一个“nginx”文件,并用下面的代码填充它,然后执行/etc/init.d/syslog restart。 这将是我的configuration(我还没有testing过): /usr/local/nginx/logs/*.log { #rotate the logfile(s) daily daily # adds extension like YYYYMMDD instead of simply adding a number dateext # If log file is missing, go on to next one without issuing an error msg missingok # Save logfiles for the last 49 days rotate 49 # Old versions of log […]