目前,我有一个相当大的 syslog-ng 集群设置,这是我的主要日志聚合点。我需要能够确认某些日志并将其标记为审核,以用于审计目的。例如所有失败的 sudo 尝试。我可以轻松地将我感兴趣的日志发送到特定的文件夹、程序或电子邮件,但想知道你们都用什么来进行审计。目前,我将它们发送到 MySQL DB,并在其中显示日志,我可以单击确认并根据需要添加注释。虽然这种方法有效,但我想要一些看起来更专业的东西。我曾考虑将它们绑定到开源票务系统中,并在审核后关闭它们,但想听听其他人的意见。
谢谢,
埃里克
答案1
一个选项是通过 logstash 提供日志。使用匹配规则匹配所需消息,然后使用 logstash 电子邮件输出为每条消息创建票据。