5 votes

Ben Lever avatar

Agrégation de journaux flexible et peu coûteuse

Demandé el 28 de Mars, 2011
Quand la question a-t-elle été
1959 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je commence à avoir une sacrée collection de VMs Ubuntu que je dois gérer. Je commence à étudier Puppet pour gérer la configuration de toutes ces machines, et apticron pour me signaler ce qui est périmé. Mais le problème que je pense devoir régler au plus vite est l'agrégation des journaux. J'aimerais rester dans le domaine du libre/open source pour le moment, vu que nous n'avons pas encore beaucoup de budget pour quelque chose comme splunk.

En plus de syslog, j'aimerais collecter les logs spécifiques aux applications (Nous exécutons différentes applications sur différentes machines, de nginx+passenger pour Rails, à Apache+Tomcat pour java, à PHP pour le moteur d'expression, et le serveur de base de données mysql/postgresql), afin que nous puissions analyser les données pertinentes.

Pour l'instant, je cherche juste à rassembler tous les journaux en un seul endroit.

Demandé el 28 de Mars, 2011 par Ben Lever

0 votes

Avatar de frameworkninja

Les questions sur les achats sont hors sujet sur l'un des sujets suivants Stack Exchange sites. Voir Les questions et réponses sont difficiles, allons faire du shopping et le FAQ pour plus de détails.

Commenté el 4 de Septembre, 2012 par frameworkninja

Réponses

Trop de publicités?

8voto

Bittrance avatar
Bittrance Points 2900

De nombreuses applications peuvent enregistrer dans syslog, ce qui signifie que vous pouvez envoyer les journaux à un serveur de journaux. apache, mysql, tomcat (log4j) le peuvent, au moins.

Ensuite, vous avez besoin d'un serveur syslog compétent pour faire l'agrégation. J'utilise syslog-ng, mais c'est parce que c'était la seule alternative sérieuse il y a 7 ans. Debian Lenny est passé à rsyslog, qui a probablement une base de code plus saine et encore plus de fonctionnalités.

D'après mon expérience, un bon moteur regex est la partie la plus importante d'un serveur syslog d'agrégation. Il y a tellement de gorp que vous voulez filtrer pour ne voir que les parties pertinentes. Vous pouvez également pointer logwatch sur les journaux agrégés si vous voulez démarrer rapidement.

EDIT : Je devrais être explicite. Notre stratégie est d'enregistrer tout ce qui provient d'un hôte spécifique dans un ou plusieurs fichiers dans un dossier pour cet hôte et d'enregistrer simultanément dans des fichiers fortement filtrés qui enregistrent certaines activités sur tous les hôtes. Par exemple, il peut y avoir un fichier contenant les échecs de connexion sur tous les hôtes.

Répondu el 28 de Mars, 2011 par Bittrance (2900 Points )

1voto

3dinfluence avatar
3dinfluence Points 12361

Un autre projet intéressant est Octopussy . Il s'agit d'un analyseur, d'un alerteur et d'un rapporteur de logs à code source ouvert. Je n'ai pas encore eu l'occasion de le configurer mais j'ai entendu de bonnes choses à son sujet.

Quelqu'un d'autre a mentionné Zenoss. J'utilise Zenoss et bien qu'il puisse alerter sur la base des journaux, je ne dirais pas que c'est son point fort. Sa tâche principale est la surveillance et l'alerte basée sur snmp, ce pour quoi je l'utilise.

Répondu el 29 de Mars, 2011 par 3dinfluence (12361 Points )

1voto

Clayton Dukes avatar
Clayton Dukes Points 444

LogZilla est très évolutif (des centaines de millions d'événements) et coûte dix fois moins cher que les autres logiciels de sa catégorie. Il est également beaucoup plus facile à utiliser.

Répondu el 4 de Septembre, 2012 par Clayton Dukes (444 Points )

0voto

Goran avatar
Goran Points 3996

Pour l'agrégation et l'analyse des journaux, vous devriez essayer CEA (Corrélation et analyse d'événements) ou SIEM (Security Information Event Manager). Par exemple :

Répondu el 29 de Mars, 2011 par Goran (3996 Points )

0voto

BZ. avatar
BZ. Points 188

En résumé de l'analytique, Canal est un fantastique transporteur et agrégateur de journaux à code source ouvert. Il a une communauté active et est soutenu par Cloudera .

Répondu el 29 de Mars, 2011 par BZ. (188 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X