Je prévois un serveur de journaux centralisé pour plus de 200 boîtes Linux, rsyslog à la fois du côté client et du côté serveur. Voici mes exigences :
Comment puis-je dire aux clients de commencer à se connecter localement ? Ou
Quelle serait la meilleure option en cas de défaillance du serveur central de logs ?
La façon dont j'ai mis en place des serveurs syslog redondants est d'utiliser un équilibreur de charge et un stockage de fichiers partagé. En gros, tous mes points de terminaison et mes serveurs syslog se connectent à /mnt/logs qui est un stockage SAN partagé. Les deux serveurs sont montés et peuvent écrire dessus, donc quel que soit le serveur, les journaux seront toujours au même endroit. J'ai fourni des détails supplémentaires dans mon message précédent, qui peut être consulté à l'adresse suivante aquí .
Désolé, je n'ai répondu qu'à une partie de votre question dans mon message initial. En ce qui concerne l'envoi de tous les journaux à l'emplacement central, j'ai juste modifié le rsyslog.conf et ajouté cette ligne.
auth.*;authpriv.* @my-syslog-server:514Dans mon exemple, je veux juste les logs auth et authpriv, vous pouvez faire . si vous voulez tout. Je recommanderais de garder la journalisation locale aussi, juste au cas où. Il n'y a aucune raison de modifier tout le reste quand le système est fait pour conserver les journaux pendant ~1 semaine selon la façon dont il est configuré. Pour ce qui est de Windows, j'utilise nxlog comme agent et j'envoie tous les journaux par ce biais. Vous pouvez également utiliser Snare, qui est un peu plus simple à configurer si vous n'êtes pas habitué à nxlog.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
1 votes
Qui enregistre les enregistreurs ?