syslog-ng loghost

robert rlanghammer at web.de
Do Aug 9 10:43:02 CEST 2018 

Das Logging wurde komplett auf journald umgestellt. Damit die ganzen
Admins nicht ausflippen, gibt es ein Socket /run/systemd/journal/syslog
worueber rsyslog gefuettert wird. Ist also nur eine Weiterleitung, um
die Gemueter zu beruhigen.

https://wiki.ubuntuusers.de/systemd/journald/

journald-remote: https://github.com/mattes/systemd-journal-remote

Robert


Am 09.08.2018 um 10:22 schrieb Peter J. Philipp:
> Hallo Robert,
>
> Hab ich ja noch nie von gehört!  Hab gerade dieses hier gegoogelt: 
> https://www.loggly.com/blog/why-journald/ also da gibts ja auch keine
> möglichkeit zu einem remote loghost was zu senden.  Schade, denn ich
> denke ein loghost wäre was gutes für die organisation.
>
> Die meisten syslogs haben einen socket auf /dev/log kann man da ein
> symlink auf /dev/null anstatt machen für journald oder ist das mehr
> komplex?
>
> Viele Grüße,
>
> -peter
>
>
> On 08/09/18 10:06, robert wrote:
>> Hallo Peter,
>>
>> das Logging ist wirklich immer wieder ein Thema. Das Problem ist
>> eigentlich, wie bekomme ich das Logging für verschiedene Dienste ganz
>> aus. Also keine IPs, MACs DNS Anfragen usw. Was ich nicht habe, kann ich
>> auch nicht rausgeben, wenn es mal blöd kommt.
>>
>> Für das "normale" Log des Systems, wäre es allerdings schon eine
>> Überlegung wert. Allerdings läuft das Logging über journald. Da sollte
>> man mal schauen, was systemd-journal-remote kann. Ich versuche mich grad
>> an journald zu gewöhnen. Das ist schon richtig gut gemacht. Allerdings
>> muss man erst die alten Gewohnheiten los werden. Nun ja, bei ifconfig
>> <-> ip und init <-> systemd hat es auch geklappt ;) Irgendwann werden
>> wir uns von syslog & co. verabschieden.
>>
>> Viele Grüße
>>
>> Robert
>>
>>
>> Am 09.08.2018 um 01:40 schrieb Peter J. Philipp:
>>> Hallo,
>>>
>>> Ich will mehr in der Infrastruktur mithelfen und habe was gefunden wo
>>> ich mitwirken kann, und, auch beim OpenBSD bleiben kann.   Ich habe
>>> schon einen Hetzner Online Cloud computer seit 7 Jahren oder so.
>>> Kürzlich habe ich es erneuert und die geben 20 TB traffic pro monat.
>>> Das hat mich auf die Idee gebracht das ja viele Freifunker probleme
>>> mit logging haben.
>>>
>>> Ich biete meinen VPS/Cloud computer an als zentralen Loghost mit
>>> syslog-ng.  Wenn da interesse besteht mir einfach eine mail schicken,
>>> und dann handeln wir weiter.  Wenn keine interesse besteht dann kein
>>> problem.  Ich habe erfahrung mit syslog-ng über TCP und würde das auch
>>> hier einsetzen.  Was passiert ist das syslog-ng eine TCP session
>>> aufmacht und dann alles über diese session sendet.  Wenn der tcp
>>> abreisst versucht es erneut einen aufzumachen, und man kann syslog-ng
>>> auch sagen wieviel es im speicher cachen soll bis es wieder eine
>>> session aufbekommt.
>>>
>>> Hauptsächlich würde ich auch ein benutzer konto pro loghost aufmachen
>>> so das die logs auch gelesen werden können.  Das rotieren der logs ist
>>> auch meine aufgabe da ich um die 1 GB im /var habe und bei 10 hosts
>>> die loggen ist das schon 100 MB pro host, also nicht besonders viel.
>>>
>>> Dies ist ein weg wie wir logs konsolidieren können, auch, um die logs
>>> vom anderen zu sehen.  Wenn CPU (ich habe nur einen VCPU) zeit erlaubt
>>> können wir auch skripte über die logs laufen lassen um potentielle
>>> fehler frühzeitig zu erkennen.  syslog-ng hat besondere filter so das
>>> man ausfiltern kann was man über netz sendet, und was auf dem lokalen
>>> host bleibt.  Ich kann helfen mit den regeln.
>>>
>>> Um dieses umzusetzen müsst ihr rsyslog verbannen und syslog-ng
>>> einbauen.  Geht nicht anders.
>>>
>>> Grüße,
>>>
>>> -peter
>>>
>>>
>

Mehr Informationen über die Mailingliste franken