Logging centralizado do CentOS, syslogd, rsyslog, syslog-ng, logstash sender?

4

Estou tentando descobrir a melhor maneira de configurar um local central para armazenar e interrogar logs do servidor. syslog, Apache, MySQL, etc.

Encontrei algumas opções diferentes, mas não tenho certeza do que seria melhor. Estou procurando algo que seja fácil de instalar e manter atualizado em muitas máquinas virtuais. Posso adicioná-lo a um modelo de VM no futuro, mas também gostaria que ele fosse fácil de instalar para manter a complexidade da VM inativa.

As opções que encontrei até agora são:

  • syslogd
  • syslog-ng
  • rsyslog
  • syslogd / syslog-ng / rsyslog para logstash / ElasticSearch
  • agente logstash em cada "cliente" de log para enviar ao Redis / logstash / ElasticSearch

E todos os tipos de permutações dos itens acima.

Qual é a perspectiva mais resiliente e leve do registro "cliente"?
Eu gostaria de evitar a situação em que log "clientes" travar porque eles não conseguem enviar seus logs para o servidor de log. Além disso, eu ainda gostaria de manter o log local e a rotação / retenção fornecida pelo logrotate no lugar.

Quaisquer idéias / sugestões ou razões a favor ou contra qualquer uma das opções acima?
Ou sugestões de uma estrutura diferente inteiramente?

    
por batfastad 28.11.2012 / 17:14

4 respostas

1

Eu diria que a melhor opção confiável neste momento (excluindo as soluções de software comercial) é pura syslog-ng

    
por 17.12.2012 / 18:33
1

Eu acho que o melhor é syslog-ng, fácil de configurar, muito fácil de manter, ferramenta agradável e poderosa. BTW, se você não tem mais de 500M logs por dia, você pode olhar para o splunk, tudo que você precisa é adicionar o log-forwarder para a imagem da máquina e configurar alguns arquivos, ele funcionará como mágica :) Ele tem um monte de aplicação para diferentes tipos de tipos de log, análise agradável etc. Tudo depende do que você precisa.

    
por 03.12.2013 / 08:52
0

Até muito recentemente, estávamos usando o rsyslog com o graylog para registro centralizado. Funcionou muito, muito bem. Isso usa o protocolo GELF, que também tem a vantagem de ter bibliotecas em várias linguagens de programação.

Dito isso, estamos mudando para Loggly , pois é mais barato do que manter nosso próprio servidor de registro centralizado. Como a Loggly recomenda o syslog-ng, estamos avaliando a mudança para isso também, embora o rsyslog pareça um pouco melhor - por exemplo. Receitas rsyslog para coisas como cache de log quando a rede é perdida e suporte para GELF.

    
por 02.01.2013 / 20:47
0

Um rsyslog recente provavelmente seria uma das opções mais rápidas e mais leves. Você obtém buffers de disco e memória gratuitamente e pode enviar para o Elasticsearch por meio de omelasticsearch . Aqui está uma postagem no blog que pode ajudar você a começar algo assim:

link

    
por 10.12.2013 / 17:14