Удаленное ведение журнала Apache

Мы используем logstash, инструмент агрегирования журналов с открытым исходным кодом. Он может получать журналы Apache с нескольких машин, а также журналы из многих других приложений. Лучший подход - отформатировать вывод журналов apache httpd в формате json примерно так:

LogFormat "{ \"@timestamp\": \"%{%Y-%m-%dT%H:%M:%S%z}t\", \"@fields\": { \"client\": \"%{X-Forwarded-For}i\", \"virtualhost\": \"%{Host}i\", \"duration_usec\": %D, \"status\": %s, \"request\": \"%U%q\", \"method\": \"%m\", \"referrer\": \"%{Referer}i\" } }" logstash_json

Затем установите logstash и пусть он собирает все ваши журналы на центральном сервере. Он надежен, выдерживает перебои в работе сети (logstash помнит, до чего добрался) и имеет очень красивый пользовательский интерфейс с возможностью поиска.

2) Устойчив ли трубопровод к регистратору?

Многие программы передают свой вывод в logger. Он так же стабилен, как и любое другое программное обеспечение.

logger просто и просто работает. logger использует вашу существующую конфигурацию системного журнала. Не требуется никаких настроек syslog или rsyslog, и нет необходимости предоставлять суперпользователя пользователям, которым нужны журналы. Logger отправляет журналы в syslog в локальной системе, а syslog обрабатывает все остальное.

Обратите внимание, что syslog исторически использует UDP, а UDP задумывался как «ненадежный» протокол с низкими накладными расходами. Видеть RFC5426 - «Передача сообщений системного журнала по UDP», раздел «4. Соображения надежности». Если вам нужен надежный системный журнал, используйте TLS, см. RFC5425, Транспортное сопоставление безопасности транспортного уровня (TLS) для системного журнала.

1) Как указано в теге, rsyslog может это сделать. Запишите журналы в файл и используйте http://www.rsyslog.com/doc/imfile.html .

2) Да. logger стабильная программа; конвейерный механизм apache является стабильным (например, конвейерный rotatelogs используется довольно давно).