syslog-ng loghost

[Peter J. Philipp]

Hallo Robert,

Hab ich ja noch nie von gehört!  Hab gerade dieses hier gegoogelt:  
https://www.loggly.com/blog/why-journald/ also da gibts ja auch keine 
möglichkeit zu einem remote loghost was zu senden.  Schade, denn ich 
denke ein loghost wäre was gutes für die organisation.

Die meisten syslogs haben einen socket auf /dev/log kann man da ein 
symlink auf /dev/null anstatt machen für journald oder ist das mehr komplex?

Viele Grüße,

-peter


On 08/09/18 10:06, robert wrote:
> Hallo Peter,
>
> das Logging ist wirklich immer wieder ein Thema. Das Problem ist
> eigentlich, wie bekomme ich das Logging für verschiedene Dienste ganz
> aus. Also keine IPs, MACs DNS Anfragen usw. Was ich nicht habe, kann ich
> auch nicht rausgeben, wenn es mal blöd kommt.
>
> Für das "normale" Log des Systems, wäre es allerdings schon eine
> Überlegung wert. Allerdings läuft das Logging über journald. Da sollte
> man mal schauen, was systemd-journal-remote kann. Ich versuche mich grad
> an journald zu gewöhnen. Das ist schon richtig gut gemacht. Allerdings
> muss man erst die alten Gewohnheiten los werden. Nun ja, bei ifconfig
> <-> ip und init <-> systemd hat es auch geklappt ;) Irgendwann werden
> wir uns von syslog & co. verabschieden.
>
> Viele Grüße
>
> Robert
>
>
> Am 09.08.2018 um 01:40 schrieb Peter J. Philipp:
>> Hallo,
>>
>> Ich will mehr in der Infrastruktur mithelfen und habe was gefunden wo
>> ich mitwirken kann, und, auch beim OpenBSD bleiben kann.   Ich habe
>> schon einen Hetzner Online Cloud computer seit 7 Jahren oder so.
>> Kürzlich habe ich es erneuert und die geben 20 TB traffic pro monat.
>> Das hat mich auf die Idee gebracht das ja viele Freifunker probleme
>> mit logging haben.
>>
>> Ich biete meinen VPS/Cloud computer an als zentralen Loghost mit
>> syslog-ng.  Wenn da interesse besteht mir einfach eine mail schicken,
>> und dann handeln wir weiter.  Wenn keine interesse besteht dann kein
>> problem.  Ich habe erfahrung mit syslog-ng über TCP und würde das auch
>> hier einsetzen.  Was passiert ist das syslog-ng eine TCP session
>> aufmacht und dann alles über diese session sendet.  Wenn der tcp
>> abreisst versucht es erneut einen aufzumachen, und man kann syslog-ng
>> auch sagen wieviel es im speicher cachen soll bis es wieder eine
>> session aufbekommt.
>>
>> Hauptsächlich würde ich auch ein benutzer konto pro loghost aufmachen
>> so das die logs auch gelesen werden können.  Das rotieren der logs ist
>> auch meine aufgabe da ich um die 1 GB im /var habe und bei 10 hosts
>> die loggen ist das schon 100 MB pro host, also nicht besonders viel.
>>
>> Dies ist ein weg wie wir logs konsolidieren können, auch, um die logs
>> vom anderen zu sehen.  Wenn CPU (ich habe nur einen VCPU) zeit erlaubt
>> können wir auch skripte über die logs laufen lassen um potentielle
>> fehler frühzeitig zu erkennen.  syslog-ng hat besondere filter so das
>> man ausfiltern kann was man über netz sendet, und was auf dem lokalen
>> host bleibt.  Ich kann helfen mit den regeln.
>>
>> Um dieses umzusetzen müsst ihr rsyslog verbannen und syslog-ng
>> einbauen.  Geht nicht anders.
>>
>> Grüße,
>>
>> -peter
>>
>>