Logwatch действительно полезен для меня, но мне очень утомительно просматривать все электронные письма.
Есть ли какой-либо инструмент или решение, которое объединяет все ежедневные отчеты в один и позволяет легко перемещаться по ним?
Спасибо.
Мы просто настраиваем центральный сервер регистрации, затем пересылаем все записи системного журнала на этот сервер и просто запускаем logwatch на этом сервере.
Чтобы привести пример ответа Зайфера, я делаю следующее: *.debug к @loghost на всех узлах. Узел loghost запускает syslog-ng, который может быть разделен по исходной системе. (Я предполагаю, что другие современные замены syslog, такие как rsyslog, могут делать аналогичные вещи.)
у меня есть образец файла syslog-ng.conf для solaris, но поменять его на Linux не так уж и сложно.
Как видите, мы также пересылаем все входящие сообщения в один файл. Это позволяет нам запускать еженощные (или чаще, если требуется) отчеты в одном месте, но во время отладки или криминалистических операций мы можем просто смотреть на рассматриваемую систему.
Еще одно преимущество записи всех сообщений в один файл заключается в том, что последовательность событий в нескольких системах легче определить, поскольку этот файл записывается по времени прибытия. Это означает, что ваши часы не должны быть на 100% синхронизированы, чтобы вычислить последовательность событий (хотя, конечно, это всегда должно быть целью, независимо от того, насколько она недостижима).