[MASOCH-L] RES: Syslog centralizado

Bruno Henrique Collovini bruno.henrique at collovini.com.br
Fri Jul 27 18:47:17 -03 2012


Rau,

Dá uma olhada no OctoPussy

T+



On Fri, 27 Jul 2012 14:56:12 -0300, Rafael Stein wrote
> Voce pode utilizar o próprio rsyslog para filtrar e dependendo da expressão
> que você desejar enviar um email de alerta
> http://www.rsyslog.com/doc/rsyslog_conf_filter.html
> 
> eu utilizo isso e funciona super bem...pois os alertas vao direto 
> para o pessoal do helpdesk
> 
> atc
>   Rafael S.
> 
> -----Mensagem original-----
> De: masoch-l [mailto:masoch-l-bounces at eng.registro.br] Em nome de Marcio
> Merlone
> Enviada em: sexta-feira, 27 de julho de 2012 14:17
> Para: masoch-l at eng.registro.br
> Assunto: [MASOCH-L] Syslog centralizado
> 
> Grandes colegas,
> 
> Antes de mais nada, a minha pergunta não é "como centralizar o 
> syslog"! :) Isto já foi feito, a pergunta é: e agora?
> 
> Já tenho o log de todos os servidores *nix e vários dispositivos de rede
> centralizados em um servidor rsyslog (Ubuntu 10.04.4 LTS). Em mais 
> ou menos 1 mês já tenho mais de 2GB de logs, entre mail, auth, squid,
>  bind, dhcp, switches, roteadores, etc.
> 
> A primeira coisa que fiz foi instalar um analisador de logs (1), mas 
> além de feio ele parece meio burro, apenas filtra. Tem um monte de coisinhas
> bacanas, realmente facilita e agiliza muito a inspeção, isto vai ser 
> bom pro colega de helpdesk verificar se algum email deixou de entrar 
> por bloqueio de spam, coisa que hoje faço com grep no mail.log diretamente.
> 
> Mas gostaria de ter um pouco mais de inteligência no assunto, no mínimo
> estatísticas, dashboard, algo que chame atenção pro que realmente é
> importante. Cheguei a ver o Splunk (2), mas ele não se deu bem com o
> mail.log tendo log do dovecot junto ao do postfix, nem do squid via 
> syslog, que coloca campos a mais, entre outros pequenos detalhes·
> 
> Cheguei a considerar o uso do mysql pra manter os logs (3) mas não 
> sei ainda qual o benefício, imediato ou não, que isto poderia me 
> trazer além de inutilizar o logrotate - considerando que isto seja 
> um benefício.
> 
> Gostaria da opinião, sugestões, testemunhos, juramentos e 
> experiência dos senhores a respeito do assunto, preferencialmente 
> com foco em análise de segurança (complementando um bom IDS), antes 
> de tomar algum caminho.
> 
> Grato a todos.
> 
> (1) http://loganalyzer.adiscon.com/
> (2) http://www.splunk.com/product
> (3)
> http://www.techrepublic.com/blog/opensource/set-up-rsyslog-to-store-
> syslog-m essages-in-mysql/1174
> 
> --
> *Marcio Merlone*
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l



More information about the masoch-l mailing list