syslog-ng loghost

robert rlanghammer at web.de
Do Aug 9 10:06:39 CEST 2018 

Hallo Peter,

das Logging ist wirklich immer wieder ein Thema. Das Problem ist
eigentlich, wie bekomme ich das Logging für verschiedene Dienste ganz
aus. Also keine IPs, MACs DNS Anfragen usw. Was ich nicht habe, kann ich
auch nicht rausgeben, wenn es mal blöd kommt.

Für das "normale" Log des Systems, wäre es allerdings schon eine
Überlegung wert. Allerdings läuft das Logging über journald. Da sollte
man mal schauen, was systemd-journal-remote kann. Ich versuche mich grad
an journald zu gewöhnen. Das ist schon richtig gut gemacht. Allerdings
muss man erst die alten Gewohnheiten los werden. Nun ja, bei ifconfig
<-> ip und init <-> systemd hat es auch geklappt ;) Irgendwann werden
wir uns von syslog & co. verabschieden.

Viele Grüße

Robert


Am 09.08.2018 um 01:40 schrieb Peter J. Philipp:
> Hallo,
>
> Ich will mehr in der Infrastruktur mithelfen und habe was gefunden wo
> ich mitwirken kann, und, auch beim OpenBSD bleiben kann.   Ich habe
> schon einen Hetzner Online Cloud computer seit 7 Jahren oder so. 
> Kürzlich habe ich es erneuert und die geben 20 TB traffic pro monat. 
> Das hat mich auf die Idee gebracht das ja viele Freifunker probleme
> mit logging haben.
>
> Ich biete meinen VPS/Cloud computer an als zentralen Loghost mit
> syslog-ng.  Wenn da interesse besteht mir einfach eine mail schicken,
> und dann handeln wir weiter.  Wenn keine interesse besteht dann kein
> problem.  Ich habe erfahrung mit syslog-ng über TCP und würde das auch
> hier einsetzen.  Was passiert ist das syslog-ng eine TCP session
> aufmacht und dann alles über diese session sendet.  Wenn der tcp
> abreisst versucht es erneut einen aufzumachen, und man kann syslog-ng
> auch sagen wieviel es im speicher cachen soll bis es wieder eine
> session aufbekommt.
>
> Hauptsächlich würde ich auch ein benutzer konto pro loghost aufmachen
> so das die logs auch gelesen werden können.  Das rotieren der logs ist
> auch meine aufgabe da ich um die 1 GB im /var habe und bei 10 hosts
> die loggen ist das schon 100 MB pro host, also nicht besonders viel.
>
> Dies ist ein weg wie wir logs konsolidieren können, auch, um die logs
> vom anderen zu sehen.  Wenn CPU (ich habe nur einen VCPU) zeit erlaubt
> können wir auch skripte über die logs laufen lassen um potentielle
> fehler frühzeitig zu erkennen.  syslog-ng hat besondere filter so das
> man ausfiltern kann was man über netz sendet, und was auf dem lokalen
> host bleibt.  Ich kann helfen mit den regeln.
>
> Um dieses umzusetzen müsst ihr rsyslog verbannen und syslog-ng
> einbauen.  Geht nicht anders.
>
> Grüße,
>
> -peter
>
>

Mehr Informationen über die Mailingliste franken