Subject: Central Syslog server Date: Fri, 23 Apr 2004 10:01:15 +0200 From: "Allan Wermuth" <none@alw--it-service.sdu.dk.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Hej NG
I nær fremtid skal jeg implementere en central syslog server, som skal modtage log-
Messages fra bl.a. Linux, FreeBSD, HP-UX, Tru64, Windows 2000/2003 Server og NetScreen
Firewall.
Der vil være tale om en del trafik, som skal logges, og uden at kunne give et 100%
Sikkert bud, så forventer jeg ca. 5 GB i døgnet (gennemsnitligt ca. 200 MB i timen),
Når logserveren er fuldt implementeret. Logfilerne tænkes lagret på et SAN.
Der selvfølgelig krav om, at
- der skal være søgemuligheder, formodentlig webbaseret
- f.eks. Ugentlig analyse af log via scripts
- Logrotation
Jeg har undersøgt mulighederne for diverse alternativer til den noget gamle syslogd,
Og fandt bl.a. Syslog-ng, Metalog og Modular syslog. Muligheden for databaseunder-
Støttelse giver nogle fordele, når der skal implementeres søgemuligheder, men jeg er
Lidt usikker på om MySQL eller PostgreSQL databaserne kan følge med, når der er tale
Om disse mængder data (jeg er ikke database ekspert). Nok forventer jeg gennemsnitlig
200 MB logdata i timen, men det data er sandsynligvis mere ulige fordelt på døgnet.
Er der nogen, som har erfaring med centrale logservere, der modtager anselige mængder
Data, og hvilke erfaringer har i med "flade logfiler" contra database?
--Allan Wermuth
Driftsingeniør, IT-service - Syddansk Universitet Campusvej 55, DK-5230 Odense M
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:39 CET