Práticas recomendadas para descartar mensagens no (r) syslog?

1

Eu configurei um servidor rsyslog central que está gravando eventos em um banco de dados MySQL.

Olhando pelos eventos, vemos todos os tipos de eventos que provavelmente são capturados desnecessariamente.

Nos sistemas RHEL / CentOS vejo e estou pensando em descartar o seguinte (no formato rsyslog.conf):

: msg, contém, "(root) CMD (partes de execução /etc/cron.hourly)" ~

: msg, contém, "programa em execução / usr / sbin / rhn_check" ~

Quais outros tipos de mensagens são candidatas a descartar?

    
por HTTP500 10.05.2011 / 22:25

1 resposta

1

Isso depende inteiramente de suas próprias preferências. Afinal, não há nada nos logs do servidor syslog remoto que seja vital para manter os servidores originais em execução.

Eu, pessoalmente, não descartaria muito, já que você nunca sabe o que pode ser necessário para solucionar problemas ou para executar perícia após uma invasão. O armazenamento é relativamente barato e os logs são muito bem compactados. Por isso, sugiro que você mantenha o máximo possível e determine um período após o qual você limpará logs antigos. Não tenho certeza de como você comprimiria os logs quando eles estiverem armazenados no MySQL.

Se você quiser filtrar logs, os candidatos para remoção serão as mensagens com o menor valor para análise posterior, como as recorrentes de hora em hora que você mencionou anteriormente.

    
por 11.05.2011 / 00:16