У меня есть несколько серверов (Linux, различные дистрибутивы, управляемые разными людьми), журналы которых я хотел бы централизовать splunk>. Журналы собираются в /var/logs но источники либо обновляют их напрямую (например, Apache), либо через rsyslog. Другими словами, я могу предположить, что журналы будут на месте, но способ их отображения не определен (и меняется между серверами).
Поэтому я ищу способ справиться /var/logs в целом путем создания ежедневной дельты, которую я затем отправляю в splunk>. Я могу написать сценарий, который будет делать такие вещи (анализировать дерево, собирать файлы, добавлять в архив, обнулять их и т. Д.), Но я уверен, что эта проблема уже решена лучшим способом (что-то вроде logrotate но для всего каталога)
(Примечание: продолжая комментарии, я хочу подчеркнуть тот факт, что у меня нет ни контроля, ни знаний о файлах, которые будут созданы в /var/log. В частности, я не хочу полагаться на решения, которые требуют, чтобы я настраивал ручной файл журнала по файлу журнала)
Вы должны иметь возможность сделать это, используя rsyslog в своих системах для отправки всех журналов на централизованный сервер журналов.
Что касается logrotate, его довольно просто настроить, но вам придется анализировать каждый файл журнала и соответствующим образом настраивать logrotate.
Я использую splunk в своей работе для обработки журналов с нескольких серверов, некоторых Linux и некоторых окон
Очень советую присмотреться к универсальному форвардеру splunk. С его помощью вы можете выбрать, какие журналы отправлять, и в основном вы можете создать любой сценарий обработки журналов, это проще настроить, затем rsyslog, есть сервер развертывания, который может помочь вам позже управлять пересылками,
Взгляните на сайт splunk, там есть простое объяснение, как начать им пользоваться.
Надеюсь, это будет вам полезно,