У меня есть веб-приложение, которое разделено на несколько сайтов в США и Великобритании. Когда у нас возникают проблемы, я хотел бы иметь возможность просматривать сопоставленные журналы ошибок с двух сайтов.
Итак, я думал об этом
1) настройка splunk-сервера на каждом сайте
2) установка 1 в качестве пересылки для другого
3) пересылка всех системных журналов ошибок и предупреждений с сайта 1 на сайт 2
и когда возникала проблема, я импортировал все журналы apache с сайта 1 в локальный splunk, и он перенаправлял их на сайт 2 для анализа со всеми существующими журналами.
Q1) Разумно ли использовать бесплатную лицензию splunk?
Q2) разумно ли отправлять системные журналы сервера с уровнем ошибок и предупреждений через Интернет? т.е. производительность и пропускная способность
Лучше всего добавить третью машину (не очень мощную), предназначенную для сбора журналов и сбора журналов там. Это просто / безопасно / эффективно и т.д. В противном случае вы получите накладные расходы на обеих машинах (отправка, получение).
Какой у вас средний трафик журнала? это использование splunk бесплатно, и это очень хорошо. ограничение состоит в том, что вы можете индексировать только 500 МБ в день, и у вас не все функции включены. Но просто для отладки идеально.
Splunk free, к сожалению, не поддерживает распределенный поиск. Но если вы сделаете то, что я сказал вам раньше, вы можете проиндексировать журналы обоих сайтов на одном splunk-сервере и иметь взаимную корреляцию.
Кроме того, если вы используете rsyslog в качестве менеджера системного журнала, у вас слишком много функций, и я сомневаюсь, что splunk их поддерживает (давайте будем честными ... splunk он больше предназначен для анализа журналов, а не для передачи журналов)
Что сказал Николаидис, хотя вы могли бы просто запустить этот третий ящик в качестве сервера Splunk и установить для каждого хоста Syslog каждого веб-сервера его IP.
Что касается транзита, надеюсь, Splunk поддерживает TCP / TLS (и ваши серверы тоже, хотя вы можете запускать rSyslog локально на них; я точно знаю, что это так), и вы можете отправлять свои журналы в зашифрованном виде через (более надежные) TCP и TLS к вашему центральному серверу Splunk, чем простой текстовый UDP.
Я также рекомендовал бы фильтрацию пакетов на сервере системного журнала, чтобы разрешать соединения только с двух ваших веб-серверов.