Я работаю в среде Linux, я хотел бы собрать все журналы из машинного пула на уникальном компьютере X. Мне нужно переместить несколько файлов журналов, и я не уверен, как мне это сделать.
Если я заставлю машины отправлять журналы время от времени на конкретный мониторинг, я бы настроил cron на каждой машине, который создает копию журналов и отправляет ее по scp.
Или я должен настроить машину мониторинга для получения файлов журналов, что означало бы, что я создал определенного пользователя «регистратор» на каждой машине, к которой X будет подключаться с помощью scp (регистратор будет иметь права на чтение необходимых мне журналов).
Я не знаю, сколько машин у меня будет в моем пуле, поэтому он может быть от 1 до 99999. Путь к файлам журналов может отличаться от машины к машине. В моем случае безопасность важна, я не хочу, чтобы кто-то другой мог перехватывать или читать логи.
Я хотел бы, чтобы процесс был максимально простым и по возможности не использовал библиотеки или другое программное обеспечение.
OSSEC делает то, что вы хотите, и, вероятно, избавит вас от необходимости заново изобретать колесо.
Если вы действительно не хотите использовать дополнительное программное обеспечение, по крайней мере, имейте смотрю в своей модели, как они аутентифицируют своих клиентов, и где и почему они доверяют выходным данным обработанных журналов.
Если вы создадите такое приложение, предложите вашим пользователям оба пути.
Если серверу необходимо активно отправлять файлы журнала, вашему пользователю необходимо установить какой-то агент на свой отслеживаемый сервер. В некоторых условиях это может не поощряться.
Если вы извлечете файлы журнала, дальнейшая установка на серверах не потребуется, за исключением предоставления им доступа к файлам журнала.
Так что предлагайте и то, и другое своим клиентам, и пусть они сами решают.