我运行带有 rsyslog 的 RHEL 服务器来收集我的网络日志,并且通过接收安全公告警报我必须升级此服务器。
升级这台机器的策略是什么,知道许多其他机器的日志都依赖于这台机器,并且操作系统更新可能会让我们面临多次重启?
当 rsyslog 没有运行时,其他机器的行为如何。
注意:我补充一点,系统日志客户端是设备,某种 SMG。众所周知,该设备在配置方面和调整参数方面受到限制。
答案1
在这种情况下,当你维护你的日志服务器时,你必须找到另一种方法来存储你的日志消息。你可以
- 安装新服务器并在维护期间将日志流量重定向到此服务器(根据您存储日志消息的方式,您可能需要将文件从此服务器移动到原始服务器)
- 让客户端在服务器维护期间存储消息:syslog-ng 开源版本 3.9 并支持磁盘缓冲区如果服务器不可用,它可以将消息临时存储在磁盘上。您可以将客户端升级到此版本并配置磁盘缓冲
- 如果您不想或无法升级您的客户端,您可以结合前两个选项,并创建一个中继,从客户端收集消息并将其转发到服务器,但在服务器中断期间使用磁盘缓冲区。
答案2
正如往常一样,这取决于...
基于 UDP 的传统系统日志协议是尽力而为的。如果远程系统日志服务器无法接收系统日志事件,则传输系统日志服务器无法检测到,在此期间,所有传输的事件都会丢失,并且不会尝试再次传输它们。
如果您的 syslog-ng 和所有传输 syslog 服务器都使用更高级的 TCP 协议版本,它们可以检测到远程 syslog 服务器已断开连接。根据 syslog 守护进程事件可能被缓冲并稍后传输......