Пересылать системные журнальные сообщения / собирать системные журнальные сообщения

Question

Пересылать системные журнальные сообщения / собирать системные журнальные сообщения

Как я могу собирать события системного журнала (извлечение) или пересылать события системного журнала (отправка)?

Я хочу иметь что-то вроде перенаправленного журнала событий ( http://windows.tips.net/T012878_What_is_the_Purpose_of_the_Forwarded_Events_Event_Log.html), но под Linux.

Я использую ArchLinux, но не уверен, что это важно.

Стоит ли пересылать журнал в системный журнал, а затем собирать системный журнал? Потеряю ли я какую-либо информацию при этом? Могу ли я собирать журнальные сообщения без демона syslog?

4

linux systemd arch-linux journald

Источник

adontz 10 окт '14 в 09:04

3 ответа

Решение

И то и другое syslog или же rsyslog хорошая идея, оба могут обрабатывать локальные и удаленные журналы. Обычно это делается с использованием UDP, так что да, сообщения могут быть потеряны. rsyslog однако можно настроить на использование TCP и даже TLS.

Вы можете использовать гибридное развертывание, например, иметь syslog в качестве отправителя и rsyslog в качестве получателя.

С помощью системного журнала вы можете написать что-то вроде:

*.*;*.!notice   @192.168.100.220

в /etc/syslog.conf на отправителя и

$ModLoad imudp.so
$UDPServerRun 514

в /etc/rsyslog.conf на приемнике и получить все ваши сообщения, собранные на приемнике.

1

Источник

mickvav 10 окт '14 в 09:41

Как насчет развертывания logstash или fluentd для сбора ваших журналов, и, возможно, вы сможете позже переслать их в syslog, splung, appDynamics ... и т. Д. Или в любое устаревшее программное обеспечение

-1

Источник

Abdel Hegazi 10 окт '17 в 10:52

Другие вопросы по тегам linux systemd arch-linux journald

god 03 авг '15 в 14:44 2015-08-03 14:44 · Accepted Answer · 2015-08-03 14:44

Пересылка сообщений в устаревшее программное обеспечение, такое как syslog, не дает вам ничего, кроме издержек.

Вместо этого вы можете реализовать обе модели, используя встроенные функции journald.

Нажмите модель:

(источник журналов) systemd-journal-upload -> systemd-journal-remote (сборщик журналов)

Вытащить модель:

(источник журналов) systemd-journal-gatewayd <- systemd-journal-remote (сборщик журналов)

Стрелка показывает, кто инициирует соединение. HTTPS используется в качестве транспорта, поэтому он безопасен.

Более подробную информацию можно получить из:

http://www.freedesktop.org/software/systemd/man/systemd-journal-remote.html

http://www.freedesktop.org/software/systemd/man/systemd-journal-upload.html

и так далее.