在我工作的地方,我们在主数据中心和为我们提供一些 Oracle PaaS 服务的第三方数据中心之间建立了站点到站点 VPN 隧道。由于他们按虚拟机收费,因此我们正在为安全和审计部门运行分析的本地虚拟机上监控 Oracle 审计日志。第三方(或者更确切地说是其中的一个部门)正在抱怨由于系统日志而导致的通过隧道的网络流量。
它目前在 udp/514 上以未加密的方式运行,因此我认为我需要进行一些压缩。经过一些研究,看起来rsyslog(第三方正在使用的)和syslog-ng(我们正在使用的)都支持TLS 压缩。我们有空闲的 CPU 周期,第三方网络团队只是抱怨,因为显然这影响了他们的 SLA。
我的问题是这样的:
有没有什么方法可以rsyslog将多条消息同时批处理(比如在五分钟的时间内)并将它们syslog-ng一次性发送到我们的服务器?
我有兴趣这样做的原因是因为我们将切换到 TCP,这会产生更多的开销。据我了解,大多数压缩方法都会对冗余数据进行替换,我想这就是系统日志消息流的情况。目标是批处理在一起,然后在传输之前删除冗余部分。