我正在计划为 200 多个 Linux 机器建立一个集中式日志服务器,客户端和服务器端均使用 rsyslog。以下是我的要求:
- 不要在 Linux 机器上本地记录任何内容,而是将所有内容发送到集中式日志服务器。
- 如果集中式日志服务器崩溃,那么
我该如何告诉客户端开始本地记录?或者
如果中央日志服务器出现故障,最好的选择是什么?
答案1
我设置冗余 syslog 服务器的方式是使用负载平衡器和共享文件存储。基本上,我的所有端点和 syslog 服务器都记录到 /mnt/logs,这是一个共享 SAN 存储。两台服务器都已安装并可以写入,因此无论哪台服务器处于运行状态,日志始终位于同一位置。我在之前的帖子中提供了一些其他详细信息,可以在此处找到这里。
抱歉,我在最初的帖子中只回答了您的部分问题。至于将所有日志发送到中心位置,我只是修改了 rsyslog.conf 并添加了此行。
auth.*;authpriv.* @my-syslog-server:514
在我的示例中,我只想要 auth 和 authpriv 日志,你可以这样做。如果您想要一切。我建议保留本地日志记录以防万一。当系统根据配置方式保留日志约 1 周时,没有必要修改其他所有内容。就 Windows 而言,我使用 nxlog 作为代理并通过它发送所有日志。如果您不习惯使用 nxlog,您也可以使用 Snare,因为它的设置更简单一些。