[MASOCH-L] Syslog centralizado

[Marcio Merlone]

Grandes colegas,

Antes de mais nada, a minha pergunta não é "como centralizar o syslog"! 
:) Isto já foi feito, a pergunta é: e agora?

Já tenho o log de todos os servidores *nix e vários dispositivos de rede 
centralizados em um servidor rsyslog (Ubuntu 10.04.4 LTS). Em mais ou 
menos 1 mês já tenho mais de 2GB de logs, entre mail, auth, squid, bind, 
dhcp, switches, roteadores, etc.

A primeira coisa que fiz foi instalar um analisador de logs (1), mas 
além de feio ele parece meio burro, apenas filtra. Tem um monte de 
coisinhas bacanas, realmente facilita e agiliza muito a inspeção, isto 
vai ser bom pro colega de helpdesk verificar se algum email deixou de 
entrar por bloqueio de spam, coisa que hoje faço com grep no mail.log 
diretamente.

Mas gostaria de ter um pouco mais de inteligência no assunto, no mínimo 
estatísticas, dashboard, algo que chame atenção pro que realmente é 
importante. Cheguei a ver o Splunk (2), mas ele não se deu bem com o 
mail.log tendo log do dovecot junto ao do postfix, nem do squid via 
syslog, que coloca campos a mais, entre outros pequenos detalhes·

Cheguei a considerar o uso do mysql pra manter os logs (3) mas não sei 
ainda qual o benefício, imediato ou não, que isto poderia me trazer além 
de inutilizar o logrotate - considerando que isto seja um benefício.

Gostaria da opinião, sugestões, testemunhos, juramentos e experiência 
dos senhores a respeito do assunto, preferencialmente com foco em 
análise de segurança (complementando um bom IDS), antes de tomar algum 
caminho.

Grato a todos.

(1) http://loganalyzer.adiscon.com/
(2) http://www.splunk.com/product
(3) 
http://www.techrepublic.com/blog/opensource/set-up-rsyslog-to-store-syslog-messages-in-mysql/1174

-- 
*Marcio Merlone*