Централизованный журнал
Logwatch действительно полезен для меня, но я считаю утомительным просматривать все электронные письма.
Существует ли какой-либо инструмент или решение, которое объединяет все ежедневные отчеты в один и позволяет легко перемещаться по ним?
Благодарю.
2 ответа
Мы просто устанавливаем центральный сервер регистрации, затем пересылаем все записи системного журнала на этот сервер и просто запускаем logwatch на этом сервере.
Чтобы привести пример ответа Zypher, то, что я делаю, это вперед *.debug в @loghost на всех узлах. Узел loghost запускает syslog-ng, который может разбиваться по исходной системе. (Я предполагаю, что другие современные замены системного журнала, такие как rsyslog, могут делать подобные вещи.)
У меня есть пример файла syslog-ng.conf для соляриса, но изменить его на Linux не так уж сложно.
Как видите, мы также пересылаем все входящие сообщения в один файл. Это позволяет нам запускать ночные (или чаще, когда это необходимо) отчеты в одном месте, но во время отладки или криминалистических операций мы можем просто посмотреть на соответствующую систему.
Еще одно преимущество регистрации всех сообщений в одном файле состоит в том, что последовательность событий в нескольких системах легче определить, поскольку этот файл записывается по времени прибытия. Это означает, что ваши часы не должны быть на 100% синхронизированы, чтобы выяснить последовательность событий (хотя, конечно, это всегда должно быть целью, независимо от того, насколько она недостижима).