如何禁用本地系统日志,这是一个好主意吗?

如何禁用本地系统日志,这是一个好主意吗?

我使用 rsyslog 进行集中式日志记录,这意味着有专用的日志服务器从所有服务器收集系统日志消息。

所有日志检查都是从这些日志服务器完成的,这意味着系统管理员永远不会通过 SSH 机器本身来查看本地/var/log/*文件。

为了(稍微)减少磁盘使用,我认为禁用本地系统日志可能是个好主意。

  • 我怎么做?只需$IncludeConfig /etc/rsyslog.d/*.conf从中删除该行就足够了吗/etc/rsyslog.conf

  • 更重要的是,这样做有什么缺点或风险吗?我记得读过,当使用集中式日志记录时,一些日志消息可能会丢失(我将通过比较本地和集中式日志来检查消息是否丢失了几周,以检查是否是这种情况。)还有其他风险吗?

注意:如果重要的话,发行版是 Ubuntu 14.04,但我也对其他发行版的答案感兴趣。

答案1

如果禁用它,则应将传输方法设置为 TCP。 UDP 是默认的,没有错误控制。您关于删除本地日志记录的行是正确的。该conf文件告诉rsyslog日志记录的源和目标是什么,因此如果您删除目标,它就不会再去那里了。

相关内容