Я установил центральный сервер rsyslog, который записывает события в базу данных MySQL.
Просматривая события, можно увидеть все виды событий, которые, вероятно, фиксируются излишне.
В системах RHEL / CentOS я вижу и думаю об отказе от следующего (в формате rsyslog.conf):
: msg, содержит "(корень) CMD (run-parts /etc/cron.hourly)" ~
: msg, содержит, «запущенная программа / usr / sbin / rhn_check» ~
Какие еще типы сообщений можно отбросить?
Это полностью зависит от ваших предпочтений. В конце концов, в журналах удаленного сервера системного журнала нет ничего важного для поддержания работы исходных серверов.
Я бы лично не стал отказываться от многого, так как вы никогда не знаете, что вам может понадобиться для устранения неполадок или проведения криминалистической экспертизы после взлома. Хранилище относительно дешево, а журналы сжимаются очень хорошо, поэтому я бы посоветовал сохранить как можно больше и определить период, по истечении которого вы будете очищать старые журналы. Я не уверен, как можно сжать журналы, когда они хранятся в MySQL.
Если вы действительно хотите фильтровать журналы, кандидатами на удаление будут сообщения с наименьшей ценностью для последующего анализа, такие как уже упомянутые ежечасно повторяющиеся сообщения.