[linux] aky syslogd?

Martin Kyrc martin.kyrc na developers.sk
Středa Červenec 14 09:08:13 CEST 2004 

Zdravim konferu,
chcel by som vas poziadat o pomoc pri vybere vhodneho syslog demona.

Potrebujem v ramci lokality zbierat data zo vzdialenych systemov
(cisco zariadenia, standardne udp/514). Z danej lokality ukladat logy
asi mesiac dozadu v textovej forme - kazde zariadenie v separatnom
subore, bez nutnosti parsovat jeden subor do viacerych inych (preto,
aby bol aktualny pohlad na log v aktualnom case.
Zaroven vsak vsetko sypat do jednej databazy (mysql, postgres,... to
je jedno), ktora sa bude priebezne replikovat zo vsetkych vzdialenych
miest na jedno spolocne do jednej velkej databazy, v  ktorej budu data
trebars rok dozadu. 

technicky v tom nevidim problem. testovanie prebehlo v poriadku,
otazka vsak je co je vhodnejsie.

testoval som:
1. sysklod (defaultne dodavany syslog)
2. syslog-ng
3. msyslog

1)
zber dat: ide, nie je problem
txt: nedokaze separovat vystup do roznych textovych suborov. nutnost
pouzit parsovanie obsahu a prerozdelenie do roznych suborov
mysql: neskusal som, predpokladam vsak, ze by tu mohol nastat problem

2)
zber dat: no problem
txt: tentu syslog mi asi najviac vyhovuje, pretoze dokaze velmi
jednoducho separovat vystup podla src IP (hostname) do suboru (napr:
/path/$HOSTNAME.log
mysql: vystup do mysql databazy robim nasledovnym sposobom:
vystup syslog-ng smerovat cez pipe, napr do /tmp/syslog.pipe a
nasledne citat tento vystup pomocou mysql clienta (napr: mysql -hxxx
-uyyy -pzzz databaza < /tmp/syslog.pipe)
ist to ide, otazkou zostava, ci je to dostatocne elegantne riesenie.

3)
velmi podobony klasickemu syslogu (1), s tym, ze dokaze priamo
zapisovat do mysql databazy bez nutnosti pipe-ovat vystup a z tohto
vystupu citat. problemom vsak zostava txt vystup (vid 1).


co sa tyka textovej formy logov, najviac mi vyhovuje syslog-ng.

co sa tyka tabulky do ktorej sa vsetky data sypu, nie je problem si
vytvorit vlastnu  strukturu tak, aby boli pri parseovani do jednej
spolocnej data jednoznacne identifikovatelne.

nie som si isty, ci riesenie cez pipe je to prave orechove (nemam s
tym skusenosti, takze neviem ako sa to bude spravat v praxi,
teoreticky by s tym nemal byt problem).

mate nejake odporucania aky syslog demon pouzit aby vyhovoval vyssie
uvedenemu riesniu?

dakujem za kazdu odpoved


-- 
                        \ /
                      /\ o -
                   /\/  \ \
--[ horol ]-------/ /    \--

Další informace o konferenci linux