* [Sysadmins] Syslog via network @ 2011-11-24 12:40 Eugene Prokopiev 2011-11-24 12:44 ` Timur Vasyunin 2011-11-24 15:54 ` Michael Shigorin 0 siblings, 2 replies; 9+ messages in thread From: Eugene Prokopiev @ 2011-11-24 12:40 UTC (permalink / raw) To: Sysadmins Здравствуйте еще раз! А кто чем (syslog-ng, rsyslog?) собирает логи по сети и, главное, куда потом их девать? ;) В БД, в файлы (как тогда группировать), что при этом делать с логами локалхоста? -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network 2011-11-24 12:40 [Sysadmins] Syslog via network Eugene Prokopiev @ 2011-11-24 12:44 ` Timur Vasyunin 2011-11-24 14:08 ` Alexey Shabalin 2011-11-24 15:54 ` Michael Shigorin 1 sibling, 1 reply; 9+ messages in thread From: Timur Vasyunin @ 2011-11-24 12:44 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Приветствую! Есть интересная штука: http://habrahabr.ru/blogs/sysadm/132116/ Сам не пользовался, но, возможно, вам пригодится! -- Timur Vasyunin t.vasyunin@gmail.com 24.11.2011, в 16:40, Eugene Prokopiev написал(а): > Здравствуйте еще раз! > > А кто чем (syslog-ng, rsyslog?) собирает логи по сети и, главное, куда > потом их девать? ;) В БД, в файлы (как тогда группировать), что при > этом делать с логами локалхоста? > > -- > С уважением, > Прокопьев Евгений > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network 2011-11-24 12:44 ` Timur Vasyunin @ 2011-11-24 14:08 ` Alexey Shabalin 2011-11-24 15:03 ` Dubrovskiy Viacheslav 0 siblings, 1 reply; 9+ messages in thread From: Alexey Shabalin @ 2011-11-24 14:08 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Все зависит от целей. Собрать и сложить логи не трудно. Это может сделать и syslog, syslog-ng, rsyslog. Смотреть/искать можно с помощью Graylog2, LogAnalyzer (есть в сизифе). А вот когда железок десятки-сотни-и т.д. уже хочется большего - автоматического анализа. Беда в том, что syslog сообщения не стандартизованы. Каждая программа или железка может выплюнуть что угодно в syslog. Существуют коммерческие решения, которые парсят логи, разносят по категориям, назначают уровень опасности и т.д. Содержат большой(или не большой - зависит от вендора) список шаблонов поддерживаемого оборудования, правила по обработке логов, функции мониторинга, правила действий(что предпринять если пришло какое-то сообщение - например послать письмо администратору, если загрузка на свиче стала больше 70% или порт 5 раз up/down). Конечно правила можно добавлять самому. Еще они пытаются понять топологию сети для вычисления зависимостей. Такие решения стоят космических денег, начиная от 50000$ Из свободных решений могу порекомендовать noc. Количество шаблонов поддерживаемого оборудования постоянно расширяется. Количество понимаемых syslog-сообщений snmp-трапов увеличивается. Правил пока не так много, в сравнении с коммерческими продуктами, но тоже увеличивается. PS: в распоряжении есть два коммерческих продукта и noc - есть с чем сравнивать :) 24 ноября 2011 г. 16:44 пользователь Timur Vasyunin написал: > Приветствую! > > Есть интересная штука: http://habrahabr.ru/blogs/sysadm/132116/ > Сам не пользовался, но, возможно, вам пригодится! >> 24.11.2011, в 16:40, Eugene Prokopiev написал(а): >> >> Здравствуйте еще раз! >> >> А кто чем (syslog-ng, rsyslog?) собирает логи по сети и, главное, куда >> потом их девать? ;) В БД, в файлы (как тогда группировать), что при >> этом делать с логами локалхоста? -- Alexey Shabalin ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network 2011-11-24 14:08 ` Alexey Shabalin @ 2011-11-24 15:03 ` Dubrovskiy Viacheslav 0 siblings, 0 replies; 9+ messages in thread From: Dubrovskiy Viacheslav @ 2011-11-24 15:03 UTC (permalink / raw) To: ALT Linux sysadmins' discussion [-- Attachment #1: Type: text/plain, Size: 1890 bytes --] 24.11.2011 09:08, Alexey Shabalin пишет: > Все зависит от целей. > Собрать и сложить логи не трудно. > Это может сделать и syslog, syslog-ng, rsyslog. > Смотреть/искать можно с помощью Graylog2, LogAnalyzer (есть в сизифе). > > А вот когда железок десятки-сотни-и т.д. уже хочется большего - > автоматического анализа. > Беда в том, что syslog сообщения не стандартизованы. Каждая программа > или железка может выплюнуть что угодно в syslog. > Существуют коммерческие решения, которые парсят логи, разносят по > категориям, назначают уровень опасности и т.д. Содержат большой(или не > большой - зависит от вендора) список шаблонов поддерживаемого > оборудования, правила по обработке логов, функции мониторинга, правила > действий(что предпринять если пришло какое-то сообщение - например > послать письмо администратору, если загрузка на свиче стала больше 70% > или порт 5 раз up/down). Конечно правила можно добавлять самому. Еще > они пытаются понять топологию сети для вычисления зависимостей. > Такие решения стоят космических денег, начиная от 50000$ Из бесплатных это prelude-lml + prewikka -- WBR, Dubrovskiy Viacheslav [-- Attachment #2: ÐÑипÑогÑаÑиÑеÑÐºÐ°Ñ Ð¿Ð¾Ð´Ð¿Ð¸ÑÑ S/MIME --] [-- Type: application/pkcs7-signature, Size: 4903 bytes --] ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network 2011-11-24 12:40 [Sysadmins] Syslog via network Eugene Prokopiev 2011-11-24 12:44 ` Timur Vasyunin @ 2011-11-24 15:54 ` Michael Shigorin 2011-11-24 17:11 ` Eugene Prokopiev 1 sibling, 1 reply; 9+ messages in thread From: Michael Shigorin @ 2011-11-24 15:54 UTC (permalink / raw) To: Sysadmins On Thu, Nov 24, 2011 at 03:40:46PM +0300, Eugene Prokopiev wrote: > А кто чем (syslog-ng, rsyslog?) собирает логи по сети Я обычным в файлы. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network 2011-11-24 15:54 ` Michael Shigorin @ 2011-11-24 17:11 ` Eugene Prokopiev 2011-11-24 20:39 ` Michael Shigorin 2011-11-25 2:01 ` Terechkov Evgenii 0 siblings, 2 replies; 9+ messages in thread From: Eugene Prokopiev @ 2011-11-24 17:11 UTC (permalink / raw) To: shigorin, ALT Linux sysadmins' discussion 24 ноября 2011 г. 19:54 пользователь Michael Shigorin <mike@osdn.org.ua> написал: > On Thu, Nov 24, 2011 at 03:40:46PM +0300, Eugene Prokopiev wrote: >> А кто чем (syslog-ng, rsyslog?) собирает логи по сети > > Я обычным в файлы. Этого, скорее, и хотелось бы - нужен не столько мониторинг, сколько отладка разных железок, которые по дефолту считаются неработоспособными. Ты же не все в кучу, наверное, сваливаешь, а по хостам нарезаешь или у тебя другие критерии? Ну и кусочек нарезающего конфига покажи тогда. -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network 2011-11-24 17:11 ` Eugene Prokopiev @ 2011-11-24 20:39 ` Michael Shigorin 2011-11-25 2:01 ` Terechkov Evgenii 1 sibling, 0 replies; 9+ messages in thread From: Michael Shigorin @ 2011-11-24 20:39 UTC (permalink / raw) To: ALT Linux sysadmins' discussion On Thu, Nov 24, 2011 at 08:11:14PM +0300, Eugene Prokopiev wrote: > Ты же не все в кучу, наверное, сваливаешь, а по хостам > нарезаешь или у тебя другие критерии? Только по facility/level, тут железок немного. > Ну и кусочек нарезающего конфига покажи тогда. А я почитал-посмотрел и оставил дефолтный, что самое смешное. Т.к. в данном случае в первую очередь интересует принципиальная возможность держать копию логов в доверенном месте. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network 2011-11-24 17:11 ` Eugene Prokopiev 2011-11-24 20:39 ` Michael Shigorin @ 2011-11-25 2:01 ` Terechkov Evgenii 2011-11-25 8:06 ` Eugene Prokopiev 1 sibling, 1 reply; 9+ messages in thread From: Terechkov Evgenii @ 2011-11-25 2:01 UTC (permalink / raw) To: ALT Linux sysadmins' discussion On Thu, 24 Nov 2011 20:11:14 +0300, Eugene Prokopiev <enp@itx.ru> wrote: > >> А кто чем (syslog-ng, rsyslog?) собирает логи по сети > > Я обычным в файлы. > Этого, скорее, и хотелось бы - нужен не столько мониторинг, сколько > отладка разных железок, которые по дефолту считаются > неработоспособными. Ты же не все в кучу, наверное, сваливаешь, а по > хостам нарезаешь или у тебя другие критерии? Ну и кусочек нарезающего > конфига покажи тогда. Для syslog-ng это просто: source remote { udp(); }; destination net_by_host { file( "/var/log/remote/$HOST.log" template("$DATE $HOST $FACILITY $MESSAGE\n") template_escape(off) perm(0600) group(root) ); }; log { source(remote); destination(net_by_host); }; Для rsyslog вроде тоже (я не пробовал): http://www.rsyslog.com/article60/ -- С уважением, Терешков Евгений. ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network 2011-11-25 2:01 ` Terechkov Evgenii @ 2011-11-25 8:06 ` Eugene Prokopiev 0 siblings, 0 replies; 9+ messages in thread From: Eugene Prokopiev @ 2011-11-25 8:06 UTC (permalink / raw) To: ALT Linux sysadmins' discussion > Для syslog-ng это просто: ... спасибо, похоже, что подходит > Для rsyslog вроде тоже (я не пробовал): http://www.rsyslog.com/article60/ почему-то подобные рецепты, в т.ч. $template DYNmessages,"/var/log/network/%HOSTNAME%" if $source != 'localhost' then ?DYNmessages нормально не работают, часть логов с других хостов все равно попадает в локалхостовый /var/log/messages. Наверное, разобраться можно, но с syslog-ng как-то проще -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2011-11-25 8:06 UTC | newest] Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2011-11-24 12:40 [Sysadmins] Syslog via network Eugene Prokopiev 2011-11-24 12:44 ` Timur Vasyunin 2011-11-24 14:08 ` Alexey Shabalin 2011-11-24 15:03 ` Dubrovskiy Viacheslav 2011-11-24 15:54 ` Michael Shigorin 2011-11-24 17:11 ` Eugene Prokopiev 2011-11-24 20:39 ` Michael Shigorin 2011-11-25 2:01 ` Terechkov Evgenii 2011-11-25 8:06 ` Eugene Prokopiev
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git