В настоящее время у меня довольно большой кластер syslog-ng, который является моей основной точкой агрегирования журналов. Мне необходимо иметь возможность подтверждать определенные журналы и отмечать их как проверенные для целей аудита. Например, все неудачные попытки sudo. Я могу легко отправить журналы, которые меня интересуют, в конкретную папку, программу или электронную почту, но мне было интересно, что вы все используете для аудита. В настоящее время я отправляю их в базу данных MySQL и храню там, где отображаются журналы, и я могу нажать «Подтвердить» и добавить комментарии, если мне нравится. Хотя этот метод работает, мне хотелось чего-то более профессионального. Я думал о том, чтобы связать их с системой продажи билетов с открытым исходным кодом и закрыть их после проверки, но хотел получить мнение других.
Спасибо,
Эрик
Один из вариантов - загрузить ваши журналы через logstash. Используйте правило сопоставления для сопоставления желаемых сообщений, а затем используйте вывод электронной почты logstash для создания билетов для каждого сообщения.