syslog-ng loghost

Peter J. Philipp pjp at centroid.eu
Do Aug 9 18:37:32 CEST 2018 

Hey Robert,

Brauchst du unterstützung mit gateways im Schweinfurter v2?   Ich könnte 
was aufbauen aber ich bin ein systemd muffel, ich würde devuan Linux 
benutzen.  Würde so ein 3 EUR cloud computer von Hetzner reichen?

Wo würde ich config samples finden um einen v2 gateway aufzubauen?

Grüße,

-peter

PS: Ich hab die links die du gesendet hast nicht gelesen denn vielleicht 
ist der aufwand für loghost fehl am Platz wenn ein gateway server 
gebraucht wird.

On 08/09/18 10:43, robert wrote:
> Das Logging wurde komplett auf journald umgestellt. Damit die ganzen
> Admins nicht ausflippen, gibt es ein Socket /run/systemd/journal/syslog
> worueber rsyslog gefuettert wird. Ist also nur eine Weiterleitung, um
> die Gemueter zu beruhigen.
>
> https://wiki.ubuntuusers.de/systemd/journald/
>
> journald-remote: https://github.com/mattes/systemd-journal-remote
>
> Robert
>
>
> Am 09.08.2018 um 10:22 schrieb Peter J. Philipp:
>> Hallo Robert,
>>
>> Hab ich ja noch nie von gehört!  Hab gerade dieses hier gegoogelt:
>> https://www.loggly.com/blog/why-journald/ also da gibts ja auch keine
>> möglichkeit zu einem remote loghost was zu senden.  Schade, denn ich
>> denke ein loghost wäre was gutes für die organisation.
>>
>> Die meisten syslogs haben einen socket auf /dev/log kann man da ein
>> symlink auf /dev/null anstatt machen für journald oder ist das mehr
>> komplex?
>>
>> Viele Grüße,
>>
>> -peter
>>
>>
>> On 08/09/18 10:06, robert wrote:
>>> Hallo Peter,
>>>
>>> das Logging ist wirklich immer wieder ein Thema. Das Problem ist
>>> eigentlich, wie bekomme ich das Logging für verschiedene Dienste ganz
>>> aus. Also keine IPs, MACs DNS Anfragen usw. Was ich nicht habe, kann ich
>>> auch nicht rausgeben, wenn es mal blöd kommt.
>>>
>>> Für das "normale" Log des Systems, wäre es allerdings schon eine
>>> Überlegung wert. Allerdings läuft das Logging über journald. Da sollte
>>> man mal schauen, was systemd-journal-remote kann. Ich versuche mich grad
>>> an journald zu gewöhnen. Das ist schon richtig gut gemacht. Allerdings
>>> muss man erst die alten Gewohnheiten los werden. Nun ja, bei ifconfig
>>> <-> ip und init <-> systemd hat es auch geklappt ;) Irgendwann werden
>>> wir uns von syslog & co. verabschieden.
>>>
>>> Viele Grüße
>>>
>>> Robert
>>>
>>>
>>> Am 09.08.2018 um 01:40 schrieb Peter J. Philipp:
>>>> Hallo,
>>>>
>>>> Ich will mehr in der Infrastruktur mithelfen und habe was gefunden wo
>>>> ich mitwirken kann, und, auch beim OpenBSD bleiben kann.   Ich habe
>>>> schon einen Hetzner Online Cloud computer seit 7 Jahren oder so.
>>>> Kürzlich habe ich es erneuert und die geben 20 TB traffic pro monat.
>>>> Das hat mich auf die Idee gebracht das ja viele Freifunker probleme
>>>> mit logging haben.
>>>>
>>>> Ich biete meinen VPS/Cloud computer an als zentralen Loghost mit
>>>> syslog-ng.  Wenn da interesse besteht mir einfach eine mail schicken,
>>>> und dann handeln wir weiter.  Wenn keine interesse besteht dann kein
>>>> problem.  Ich habe erfahrung mit syslog-ng über TCP und würde das auch
>>>> hier einsetzen.  Was passiert ist das syslog-ng eine TCP session
>>>> aufmacht und dann alles über diese session sendet.  Wenn der tcp
>>>> abreisst versucht es erneut einen aufzumachen, und man kann syslog-ng
>>>> auch sagen wieviel es im speicher cachen soll bis es wieder eine
>>>> session aufbekommt.
>>>>
>>>> Hauptsächlich würde ich auch ein benutzer konto pro loghost aufmachen
>>>> so das die logs auch gelesen werden können.  Das rotieren der logs ist
>>>> auch meine aufgabe da ich um die 1 GB im /var habe und bei 10 hosts
>>>> die loggen ist das schon 100 MB pro host, also nicht besonders viel.
>>>>
>>>> Dies ist ein weg wie wir logs konsolidieren können, auch, um die logs
>>>> vom anderen zu sehen.  Wenn CPU (ich habe nur einen VCPU) zeit erlaubt
>>>> können wir auch skripte über die logs laufen lassen um potentielle
>>>> fehler frühzeitig zu erkennen.  syslog-ng hat besondere filter so das
>>>> man ausfiltern kann was man über netz sendet, und was auf dem lokalen
>>>> host bleibt.  Ich kann helfen mit den regeln.
>>>>
>>>> Um dieses umzusetzen müsst ihr rsyslog verbannen und syslog-ng
>>>> einbauen.  Geht nicht anders.
>>>>
>>>> Grüße,
>>>>
>>>> -peter
>>>>
>>>>

Mehr Informationen über die Mailingliste franken