我使用 rsyslog 进行集中式日志记录,这意味着有专用的日志服务器从所有服务器收集系统日志消息。
所有日志检查都是从这些日志服务器完成的,这意味着系统管理员永远不会通过 SSH 机器本身来查看本地/var/log/*文件。
为了(稍微)减少磁盘使用,我认为禁用本地系统日志可能是个好主意。
我怎么做?只需
$IncludeConfig /etc/rsyslog.d/*.conf从中删除该行就足够了吗/etc/rsyslog.conf?更重要的是,这样做有什么缺点或风险吗?我记得读过,当使用集中式日志记录时,一些日志消息可能会丢失(我将通过比较本地和集中式日志来检查消息是否丢失了几周,以检查是否是这种情况。)还有其他风险吗?
注意:如果重要的话,发行版是 Ubuntu 14.04,但我也对其他发行版的答案感兴趣。
答案1
如果禁用它,则应将传输方法设置为 TCP。 UDP 是默认的,没有错误控制。您关于删除本地日志记录的行是正确的。该conf文件告诉rsyslog日志记录的源和目标是什么,因此如果您删除目标,它就不会再去那里了。