У меня есть журналы, которые традиционно хранятся в / var / log /, передаваемые через syslog-ng. Журналы могут достигать размера терабайта ежедневно. Чтобы сделать их более управляемыми. Я бы хотел разбить их по серверам и кластерам приложений.
Это лучший способ сделать это? Как мне сделать это с управляемым Syslog-ng?
Вы можете сделать это с помощью syslog-ng, и это один из наиболее распространенных способов разбить логи. Пожалуйста, обратитесь к руководству syslog-ng за информацией, а также за получателем, настроенным в образец файла конфигурации этого парня (большой совет, который я дам вам, это то, что вы хотите сгенерировать либо путь к журналу, либо имя файла, используя имя хоста отправляющего сервера в качестве компонента).
Это лучший способ сделать это? Универсального «лучшего» не существует.
Это, безусловно, жизнеспособно - я управлял всей инфраструктурой журналирования ISP с таким типом поломки, хотя у нее не было того объема, о котором вы говорите.
Если для вас имеет смысл структурировать журналы таким образом и поддерживать управляемость размеров журналов, то это может быть «лучшим» способом для вашей среды.
Вам действительно стоит подумать о создании лучшего решения для «управления» системным журналом (в отличие от простого мониторинга). На веб-сайте Cisco опубликован действительно хороший технический документ, в котором описаны методы (включая syslog-ng), а также процессы и инструменты: http://www.cisco.com/en/US/technologies/collateral/tk869/tk769/white_paper_c11-557812.html