Мы знаем, что журналы важны. Как лучше всего их поддерживать?
Журналы могут стать большими - поэтому мы идем на ротацию журналов. И конечно, мы не хотим потерять логи - поэтому идем за их резервными копиями.
Как лучше всего справляться с этими вещами? пожалуйста, порекомендуйте.
Logrotate - хороший инструмент для ротации и сжатия журналов. Он доступен для большинства разновидностей Unix. Я считаю, что настройки по умолчанию, используемые в Ubuntu, являются хорошей отправной точкой. При изменении частоты вращения следует изменить количество оборотов.
Храните журналы столько, сколько они могут быть полезны. При необходимости архивируйте в недисковое хранилище. Для бизнес-систем могут существовать юридические требования, регулирующие сохранение и / или уничтожение данных журнала.
В зависимости от данных и наличия данных в другом журнале данные могут храниться в течение недели, месяца, квартала или года. Только дублированные данные удаляются через неделю. Ежемесячная резервная копия, хранимая в течение года, предоставит вам большую часть данных журнала за годы.
Централизованный сервер журналов обычно выполняет другую функцию, чем сохранение журналов. Сравнение централизованных журналов с журналами хоста может выявить подделку файла журнала.
Я думаю, BillThor дает хороший ответ. По его словам, централизованный сбор журналов - хорошая идея. Если вы поместите свои журналы в базу данных, вы сможете выполнять всевозможные запросы на лету, что может быть чрезвычайно полезным. Одним из полезных инструментов управления журналами с открытым исходным кодом является logstash. Коммерческие инструменты, такие как splunk служат той же цели и могут быть уместны, если вам нужна более официальная поддержка.
Еще кое-что, что следует учитывать при управлении журналами на отдельных серверах: ротация журналов состоит из двух компонентов: ротации по расписанию и ротации в зависимости от размера файла. Ротация журнала должна учитывать и то, и другое. Если вы просто меняете файл журнала на еженедельной основе, и что-то внезапно начинает регистрировать огромные объемы данных, вам не хватит места на диске. Точно так же, если вы просто меняете размер файла, вы можете быстро потерять старые журналы, если объем журнала значительно увеличится. Это еще одна отличная причина рассмотреть возможность централизованного управления журналами.
Какая среда?
В Linux logrotate хороший инструмент.
Централизованное ведение журнала с системный журнал это тоже хорошая практика.