Я хотел бы настроить сервер системного журнала для пересылки всего файла журнала со всех моих виртуальных машин и серверов. Я действительно не очень разбираюсь в том, что там есть. Поэтому я обращаюсь к сообществу: «Что-то в Linux в порядке, я хочу большего, так это способность оповещения, например, электронные письма, говорящие мне, что что-то не так. Если бы было что сортировать логи по источнику, это было бы круто.
Откуда мне запускать сервер системного журнала? Мой админский WS или сервер / виртуальная машина?
Любой вклад был бы замечательным.
Заранее спасибо.
Вам следует начать с идеи централизованного сервера журналов (который должен быть сервером, а не вашим настольным компьютером). Самый простой способ сделать это - настроить системный журнал, который уже существует на всех ваших машинах, для отправки журналов на центральный хост. Затем этот центральный хост помещает все сообщения журнала в один файл или небольшую коллекцию файлов.
Вот центральный логхост мини-хауто чтобы вы начали. Обратите внимание, что традиционный системный журнал имеет ряд ограничения например, возможность отправлять журналы только через UDP и отсутствие поддержки ротации журналов. Многие люди используют версию с открытым исходным кодом syslog-ng для решения этих проблем, хотя это происходит за счет более сложной конфигурации.
После того, как все журналы будут отправлены в центральное место, вы можете использовать различные инструменты для их анализа. Меня особенно интересует новый инструмент с открытым исходным кодом logstash как способ сделать это. Есть также платные инструменты, такие как Splunk, которые уже комментировали предыдущие авторы.
Поскольку вы настраиваете сервер для хранения системного журнала, это должен быть сервер, а не ваша рабочая станция. Иногда вы выключаете свою рабочую станцию - сервер должен быть доступен. Вам необходимо установить и настроить центральное программное обеспечение системного журнала, а затем вам нужно настроить агентов на всех других ваших серверах (и сетевые устройства - отличная идея) для отправки на сервер системного журнала. Затем, если ваше программное обеспечение системного журнала имеет возможность отправлять предупреждения на основе полученных событий, вы можете это настроить.
Я не устанавливал их довольно долгое время, и они все равно были в Windows (SolarWinds Orion), поэтому я не могу рекомендовать или описывать какие-либо конкретные пакеты, но это общая идея. Я слышал хорошие отзывы о Splunk как о расширении общего назначения, которое позволяет более эффективно использовать данные системного журнала.
Если вы являетесь членом SAGE, есть также "Создание инфраструктуры лесозаготовок"