* [Sysadmins] Syslog via network
@ 2011-11-24 12:40 Eugene Prokopiev
2011-11-24 12:44 ` Timur Vasyunin
2011-11-24 15:54 ` Michael Shigorin
0 siblings, 2 replies; 9+ messages in thread
From: Eugene Prokopiev @ 2011-11-24 12:40 UTC (permalink / raw)
To: Sysadmins
Здравствуйте еще раз!
А кто чем (syslog-ng, rsyslog?) собирает логи по сети и, главное, куда
потом их девать? ;) В БД, в файлы (как тогда группировать), что при
этом делать с логами локалхоста?
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network
2011-11-24 12:40 [Sysadmins] Syslog via network Eugene Prokopiev
@ 2011-11-24 12:44 ` Timur Vasyunin
2011-11-24 14:08 ` Alexey Shabalin
2011-11-24 15:54 ` Michael Shigorin
1 sibling, 1 reply; 9+ messages in thread
From: Timur Vasyunin @ 2011-11-24 12:44 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Приветствую!
Есть интересная штука: http://habrahabr.ru/blogs/sysadm/132116/
Сам не пользовался, но, возможно, вам пригодится!
--
Timur Vasyunin
t.vasyunin@gmail.com
24.11.2011, в 16:40, Eugene Prokopiev написал(а):
> Здравствуйте еще раз!
>
> А кто чем (syslog-ng, rsyslog?) собирает логи по сети и, главное, куда
> потом их девать? ;) В БД, в файлы (как тогда группировать), что при
> этом делать с логами локалхоста?
>
> --
> С уважением,
> Прокопьев Евгений
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network
2011-11-24 12:44 ` Timur Vasyunin
@ 2011-11-24 14:08 ` Alexey Shabalin
2011-11-24 15:03 ` Dubrovskiy Viacheslav
0 siblings, 1 reply; 9+ messages in thread
From: Alexey Shabalin @ 2011-11-24 14:08 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Все зависит от целей.
Собрать и сложить логи не трудно.
Это может сделать и syslog, syslog-ng, rsyslog.
Смотреть/искать можно с помощью Graylog2, LogAnalyzer (есть в сизифе).
А вот когда железок десятки-сотни-и т.д. уже хочется большего -
автоматического анализа.
Беда в том, что syslog сообщения не стандартизованы. Каждая программа
или железка может выплюнуть что угодно в syslog.
Существуют коммерческие решения, которые парсят логи, разносят по
категориям, назначают уровень опасности и т.д. Содержат большой(или не
большой - зависит от вендора) список шаблонов поддерживаемого
оборудования, правила по обработке логов, функции мониторинга, правила
действий(что предпринять если пришло какое-то сообщение - например
послать письмо администратору, если загрузка на свиче стала больше 70%
или порт 5 раз up/down). Конечно правила можно добавлять самому. Еще
они пытаются понять топологию сети для вычисления зависимостей.
Такие решения стоят космических денег, начиная от 50000$
Из свободных решений могу порекомендовать noc.
Количество шаблонов поддерживаемого оборудования постоянно расширяется.
Количество понимаемых syslog-сообщений snmp-трапов увеличивается.
Правил пока не так много, в сравнении с коммерческими продуктами, но
тоже увеличивается.
PS: в распоряжении есть два коммерческих продукта и noc - есть с чем
сравнивать :)
24 ноября 2011 г. 16:44 пользователь Timur Vasyunin написал:
> Приветствую!
>
> Есть интересная штука: http://habrahabr.ru/blogs/sysadm/132116/
> Сам не пользовался, но, возможно, вам пригодится!
>> 24.11.2011, в 16:40, Eugene Prokopiev написал(а):
>>
>> Здравствуйте еще раз!
>>
>> А кто чем (syslog-ng, rsyslog?) собирает логи по сети и, главное, куда
>> потом их девать? ;) В БД, в файлы (как тогда группировать), что при
>> этом делать с логами локалхоста?
--
Alexey Shabalin
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network
2011-11-24 14:08 ` Alexey Shabalin
@ 2011-11-24 15:03 ` Dubrovskiy Viacheslav
0 siblings, 0 replies; 9+ messages in thread
From: Dubrovskiy Viacheslav @ 2011-11-24 15:03 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
[-- Attachment #1: Type: text/plain, Size: 1890 bytes --]
24.11.2011 09:08, Alexey Shabalin пишет:
> Все зависит от целей.
> Собрать и сложить логи не трудно.
> Это может сделать и syslog, syslog-ng, rsyslog.
> Смотреть/искать можно с помощью Graylog2, LogAnalyzer (есть в сизифе).
>
> А вот когда железок десятки-сотни-и т.д. уже хочется большего -
> автоматического анализа.
> Беда в том, что syslog сообщения не стандартизованы. Каждая программа
> или железка может выплюнуть что угодно в syslog.
> Существуют коммерческие решения, которые парсят логи, разносят по
> категориям, назначают уровень опасности и т.д. Содержат большой(или не
> большой - зависит от вендора) список шаблонов поддерживаемого
> оборудования, правила по обработке логов, функции мониторинга, правила
> действий(что предпринять если пришло какое-то сообщение - например
> послать письмо администратору, если загрузка на свиче стала больше 70%
> или порт 5 раз up/down). Конечно правила можно добавлять самому. Еще
> они пытаются понять топологию сети для вычисления зависимостей.
> Такие решения стоят космических денег, начиная от 50000$
Из бесплатных это prelude-lml + prewikka
--
WBR,
Dubrovskiy Viacheslav
[-- Attachment #2: КриптографичеÑÐºÐ°Ñ Ð¿Ð¾Ð´Ð¿Ð¸ÑÑŒ S/MIME --]
[-- Type: application/pkcs7-signature, Size: 4903 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network
2011-11-24 12:40 [Sysadmins] Syslog via network Eugene Prokopiev
2011-11-24 12:44 ` Timur Vasyunin
@ 2011-11-24 15:54 ` Michael Shigorin
2011-11-24 17:11 ` Eugene Prokopiev
1 sibling, 1 reply; 9+ messages in thread
From: Michael Shigorin @ 2011-11-24 15:54 UTC (permalink / raw)
To: Sysadmins
On Thu, Nov 24, 2011 at 03:40:46PM +0300, Eugene Prokopiev wrote:
> А кто чем (syslog-ng, rsyslog?) собирает логи по сети
Я обычным в файлы.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network
2011-11-24 15:54 ` Michael Shigorin
@ 2011-11-24 17:11 ` Eugene Prokopiev
2011-11-24 20:39 ` Michael Shigorin
2011-11-25 2:01 ` Terechkov Evgenii
0 siblings, 2 replies; 9+ messages in thread
From: Eugene Prokopiev @ 2011-11-24 17:11 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmins' discussion
24 ноября 2011 г. 19:54 пользователь Michael Shigorin
<mike@osdn.org.ua> написал:
> On Thu, Nov 24, 2011 at 03:40:46PM +0300, Eugene Prokopiev wrote:
>> А кто чем (syslog-ng, rsyslog?) собирает логи по сети
>
> Я обычным в файлы.
Этого, скорее, и хотелось бы - нужен не столько мониторинг, сколько
отладка разных железок, которые по дефолту считаются
неработоспособными. Ты же не все в кучу, наверное, сваливаешь, а по
хостам нарезаешь или у тебя другие критерии? Ну и кусочек нарезающего
конфига покажи тогда.
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network
2011-11-24 17:11 ` Eugene Prokopiev
@ 2011-11-24 20:39 ` Michael Shigorin
2011-11-25 2:01 ` Terechkov Evgenii
1 sibling, 0 replies; 9+ messages in thread
From: Michael Shigorin @ 2011-11-24 20:39 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Thu, Nov 24, 2011 at 08:11:14PM +0300, Eugene Prokopiev wrote:
> Ты же не все в кучу, наверное, сваливаешь, а по хостам
> нарезаешь или у тебя другие критерии?
Только по facility/level, тут железок немного.
> Ну и кусочек нарезающего конфига покажи тогда.
А я почитал-посмотрел и оставил дефолтный, что самое смешное.
Т.к. в данном случае в первую очередь интересует принципиальная
возможность держать копию логов в доверенном месте.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network
2011-11-24 17:11 ` Eugene Prokopiev
2011-11-24 20:39 ` Michael Shigorin
@ 2011-11-25 2:01 ` Terechkov Evgenii
2011-11-25 8:06 ` Eugene Prokopiev
1 sibling, 1 reply; 9+ messages in thread
From: Terechkov Evgenii @ 2011-11-25 2:01 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Thu, 24 Nov 2011 20:11:14 +0300, Eugene Prokopiev <enp@itx.ru> wrote:
> >> А кто чем (syslog-ng, rsyslog?) собирает логи по сети
> > Я обычным в файлы.
> Этого, скорее, и хотелось бы - нужен не столько мониторинг, сколько
> отладка разных железок, которые по дефолту считаются
> неработоспособными. Ты же не все в кучу, наверное, сваливаешь, а по
> хостам нарезаешь или у тебя другие критерии? Ну и кусочек нарезающего
> конфига покажи тогда.
Для syslog-ng это просто:
source remote { udp(); };
destination net_by_host { file( "/var/log/remote/$HOST.log" template("$DATE $HOST $FACILITY $MESSAGE\n") template_escape(off) perm(0600) group(root) ); };
log { source(remote); destination(net_by_host); };
Для rsyslog вроде тоже (я не пробовал): http://www.rsyslog.com/article60/
--
С уважением, Терешков
Евгений.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Syslog via network
2011-11-25 2:01 ` Terechkov Evgenii
@ 2011-11-25 8:06 ` Eugene Prokopiev
0 siblings, 0 replies; 9+ messages in thread
From: Eugene Prokopiev @ 2011-11-25 8:06 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> Для syslog-ng это просто:
...
спасибо, похоже, что подходит
> Для rsyslog вроде тоже (я не пробовал): http://www.rsyslog.com/article60/
почему-то подобные рецепты, в т.ч.
$template DYNmessages,"/var/log/network/%HOSTNAME%"
if $source != 'localhost' then ?DYNmessages
нормально не работают, часть логов с других хостов все равно попадает
в локалхостовый /var/log/messages. Наверное, разобраться можно, но с
syslog-ng как-то проще
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2011-11-25 8:06 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2011-11-24 12:40 [Sysadmins] Syslog via network Eugene Prokopiev
2011-11-24 12:44 ` Timur Vasyunin
2011-11-24 14:08 ` Alexey Shabalin
2011-11-24 15:03 ` Dubrovskiy Viacheslav
2011-11-24 15:54 ` Michael Shigorin
2011-11-24 17:11 ` Eugene Prokopiev
2011-11-24 20:39 ` Michael Shigorin
2011-11-25 2:01 ` Terechkov Evgenii
2011-11-25 8:06 ` Eugene Prokopiev
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git