我通常将日志保存在 /var/log/ 中,并通过 syslog-ng 进行传输。日志每天可以达到 TB 大小。为了使它们更易于管理。我想按服务器和应用程序集群对它们进行分类。
这是最好的方法吗?如何使用可管理的 Syslog-ng 来实现这一点?
答案1
你可以使用 syslog-ng 来实现这一点,这是最常用的日志拆分方法之一。请参阅 syslog-ng 手册以获取更多信息,以及在这个家伙的示例配置文件(我给你的最大提示是你想要使用发送服务器的主机名作为组件来生成日志路径或文件名)。
这是“最佳”方法吗?没有通用的“最佳”方法。
这当然是可行的 - 我管理了整个 ISP 的日志基础设施,尽管它没有您所说的数量。
如果您以这种方式构建日志有意义,并且它使日志大小易于管理,那么这可能是您的环境的“最佳”方法。
答案2
您确实应该考虑构建一个更好的 syslog“管理”解决方案(而不仅仅是监控)。思科网站上发布了一篇非常好的白皮书,概述了方法(包括 syslog-ng)以及流程和工具: http://www.cisco.com/en/US/technologies/collateral/tk869/tk769/white_paper_c11-557812.html