Я планирую централизованный сервер журналов для 200+ ящиков Linux, rsyslog как на стороне клиента, так и на стороне сервера. Вот мои требования:
Как мне сказать клиентам начать локальное ведение журнала? Или
Что было бы лучшим вариантом в случае отказа центрального сервера журналов?
Я настроил резервные серверы системного журнала с помощью балансировщика нагрузки и общего хранилища файлов. У меня в основном все конечные точки и мои серверы системного журнала регистрируются в / mnt / logs, который является общим хранилищем SAN. Оба сервера смонтированы и могут писать на него, поэтому независимо от того, какой сервер включен, журналы всегда будут в одном месте. У меня есть некоторые дополнительные сведения в моем предыдущем посте, которые можно найти Вот.
Извините, я ответил только на часть вашего вопроса в своем первоначальном сообщении. Что касается отправки всех журналов в центральное хранилище, я просто изменил rsyslog.conf и добавил эту строку.
auth.*;authpriv.* @my-syslog-server:514
В моем примере мне просто нужны журналы auth и authpriv, вы можете сделать . если хочешь всего. Я бы порекомендовал на всякий случай сохранить и локальный журнал. Нет причин изменять все остальное, если система настроена на хранение журналов в течение ~ 1 недели в зависимости от того, как она настроена. Что касается Windows, я использую nxlog в качестве агента и отправляю через него все журналы. Вы также можете использовать Snare, поскольку его немного проще настроить, если вы не привыкли к nxlog.