У нас есть 50 веб-серверов RHEL Apache. Мы хотим, чтобы все журналы Apache обрабатывались на выделенном сервере, предназначенном для этой цели, поскольку мы не зависим от приложений обработки журналов, установленных на наших производственных серверах.
Как лучше всего этого добиться?
вы можете использовать syslog-ng
http://peter.blogs.balabit.com/2010/02/how-to-collect-apache-logs-by-syslog-ng/
Вы также можете использовать открытый исходный код nxlog для централизации журналов.
Если вы собираетесь проводить много анализов, часто выполнять запросы и т. Д., То похоже, что Splunk может соответствовать всем требованиям:
Это отличный продукт, но недостатком является то, что корпоративная версия довольно дорога. Существует бесплатная версия с некоторыми ограничениями, возможно, она подходит в зависимости от потребностей вашей пользовательской базы и объема данных, которые вы собираетесь импортировать. Посмотрите сравнение бесплатного и корпоративного контента здесь:
Ответ Дайи был очень полезным, но я хочу предложить кое-что еще.
Как насчет создания общего ресурса nfs и привязки к нему папки журнала httpd. Акционерный ресурс, конечно же, будет центральным сервером.