Eu diria que a melhor opção confiável neste momento (excluindo as soluções de software comercial) é pura syslog-ng
Estou tentando descobrir a melhor maneira de configurar um local central para armazenar e interrogar logs do servidor. syslog, Apache, MySQL, etc.
Encontrei algumas opções diferentes, mas não tenho certeza do que seria melhor. Estou procurando algo que seja fácil de instalar e manter atualizado em muitas máquinas virtuais. Posso adicioná-lo a um modelo de VM no futuro, mas também gostaria que ele fosse fácil de instalar para manter a complexidade da VM inativa.
As opções que encontrei até agora são:
E todos os tipos de permutações dos itens acima.
Qual é a perspectiva mais resiliente e leve do registro "cliente"?
Eu gostaria de evitar a situação em que log "clientes" travar porque eles não conseguem enviar seus logs para o servidor de log.
Além disso, eu ainda gostaria de manter o log local e a rotação / retenção fornecida pelo logrotate no lugar.
Quaisquer idéias / sugestões ou razões a favor ou contra qualquer uma das opções acima?
Ou sugestões de uma estrutura diferente inteiramente?
Eu diria que a melhor opção confiável neste momento (excluindo as soluções de software comercial) é pura syslog-ng
Eu acho que o melhor é syslog-ng, fácil de configurar, muito fácil de manter, ferramenta agradável e poderosa. BTW, se você não tem mais de 500M logs por dia, você pode olhar para o splunk, tudo que você precisa é adicionar o log-forwarder para a imagem da máquina e configurar alguns arquivos, ele funcionará como mágica :) Ele tem um monte de aplicação para diferentes tipos de tipos de log, análise agradável etc. Tudo depende do que você precisa.
Até muito recentemente, estávamos usando o rsyslog com o graylog para registro centralizado. Funcionou muito, muito bem. Isso usa o protocolo GELF, que também tem a vantagem de ter bibliotecas em várias linguagens de programação.
Dito isso, estamos mudando para Loggly , pois é mais barato do que manter nosso próprio servidor de registro centralizado. Como a Loggly recomenda o syslog-ng, estamos avaliando a mudança para isso também, embora o rsyslog pareça um pouco melhor - por exemplo. Receitas rsyslog para coisas como cache de log quando a rede é perdida e suporte para GELF.
Um rsyslog recente provavelmente seria uma das opções mais rápidas e mais leves. Você obtém buffers de disco e memória gratuitamente e pode enviar para o Elasticsearch por meio de omelasticsearch . Aqui está uma postagem no blog que pode ajudar você a começar algo assim: