Atualiza o sistema operacional de um servidor syslog-ng ou rsyslog

1

Eu executo um servidor RHEL com rsyslog para coletar meus logs de rede e, ao receber um alerta de boletim de segurança, preciso atualizar esse servidor.

Qual é a estratégia para atualizar esta máquina, sabendo que muitos logs de outras máquinas dependem disso e de uma atualização do sistema operacional, podemos estar diante de muitas reinicializações?

qual é o comportamento de outras máquinas quando o rsyslog não está em execução.

NB: Eu adiciono que o cliente syslog são dispositivos, algum tipo de SMG. E, como se sabe, o appliance é limitado no lado da configuração e nos parâmetros de sintonia.

    
por Ali Mezgani 07.02.2017 / 23:11

2 respostas

1

neste caso, quando você está mantendo o seu servidor de registros, você tem que encontrar uma maneira alternativa de armazenar suas mensagens de log. Você pode

  • instale um novo servidor e redirecione o tráfego de log para esse servidor durante a manutenção (dependendo de como você armazena suas mensagens de log, talvez seja necessário mover os arquivos desse servidor para o original)
  • peça aos clientes que armazenem as mensagens durante a manutenção do servidor: syslog-ng do Open Source Edition 3.9 e suporta diskbuffers que podem armazenar mensagens temporariamente em disco se o servidor não estiver disponível. Você pode atualizar seus clientes para esta versão e configurar o buffer de disco
  • Se você não quiser ou não puder atualizar seus clientes, poderá combinar as duas opções anteriores e criar uma retransmissão que coleta as mensagens dos clientes e as encaminha para o servidor, mas usa o buffer de disco durante a indisponibilidade do servidor.
por 08.02.2017 / 08:48
0

Como sempre, isso depende ...

O protocolo tradicional de syslog, baseado em UDP, é o melhor esforço. Se o servidor syslog remoto não puder receber os eventos syslog, o (s) servidor (es) syslog transmissor (es) não poderá detectar e durante esse período todos os eventos transmitidos serão perdidos e nenhuma tentativa será feita para transmiti-los novamente.

Se o seu syslog-ng e todos os servidores syslog de transmissão usarem a versão mais avançada do protocolo TCP, eles poderão detectar que o servidor syslog remoto interrompeu a conexão. Dependendo dos eventos do daemon syslog, podem ser colocados em buffer e transmitidos mais tarde ...

    
por 07.02.2017 / 23:51