[HS] Gestion des logs
Le
Romaric DEFAUX

Bonjour la liste :) !
Aujourd'hui je me pose la question de savoir si ce serait bien de
centraliser l'ensemble des logs de mes serveurs sur un seul serveur,
dans une db mysql par exemple. L'avantage serait la simplicité
d'analyse, afin de détecter les éventuels problèmes.
Pour l'instant, j'ai un logwatch qui tourne quotidiennement par serveur,
mais je reçois environ 150 rapports par jour, et avec le temps je ne les
lis plus D'autant plus que lorsque j'y jette un coup d'œil, il n'y a
jamais rien de bizarre.
J'ai cherché un peu d'autres analyseurs de logs, qui n'enverrait par
exemple un rapport que lorsqu'une anomalie serait détectée, et je suis
tombé sur logcheck qui m'a l'air pas mal.
Donc voilà, avant d'aller plus en avant, j'aimerais avoir vos retours
d'expérience sur la gestion des logs de vos linux box.
1°) Pour ou contre la centralisation des logs (et si vous connaissez des
outils :) )
2°) Les outils que vous utilisez pour monitorer vos logs, remonter les
évènements douteux, etc
Et merci !
Romaric
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E087735.6090608@audaxis.com
Aujourd'hui je me pose la question de savoir si ce serait bien de
centraliser l'ensemble des logs de mes serveurs sur un seul serveur,
dans une db mysql par exemple. L'avantage serait la simplicité
d'analyse, afin de détecter les éventuels problèmes.
Pour l'instant, j'ai un logwatch qui tourne quotidiennement par serveur,
mais je reçois environ 150 rapports par jour, et avec le temps je ne les
lis plus D'autant plus que lorsque j'y jette un coup d'œil, il n'y a
jamais rien de bizarre.
J'ai cherché un peu d'autres analyseurs de logs, qui n'enverrait par
exemple un rapport que lorsqu'une anomalie serait détectée, et je suis
tombé sur logcheck qui m'a l'air pas mal.
Donc voilà, avant d'aller plus en avant, j'aimerais avoir vos retours
d'expérience sur la gestion des logs de vos linux box.
1°) Pour ou contre la centralisation des logs (et si vous connaissez des
outils :) )
2°) Les outils que vous utilisez pour monitorer vos logs, remonter les
évènements douteux, etc
Et merci !
Romaric
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E087735.6090608@audaxis.com
Dans mon cadre pro, on centralise tous nos logs avec syslog-ng et
rsyslog selon les distributions. Utile notamment en cas de requête des
décideurs ou en cas de soucis avec la justice. On stocke les fichiers en
brut par contre (avec compression au bout d'un temps donné).
Voilà pour ce que je peux dire.
David
On Mon, 27 Jun 2011 14:27:33 +0200, Romaric DEFAUX wrote:
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Content-Type: Text/Plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Le Monday 27 June 2011 14:33:25 David S., vous avez écrit :
Idem, avec insertion dans une base pour les regarder/chercher avec php-sysl og-
ng.
Sinon, logcheck tourne sur le fichier de log central pour nous envoyer par mail
tout ce qui sort du "normal".
Ca nécessite de tunner les règles d'ignore, surtout quand on est multi-
distribs, multi-os...
Ce qui est sur, c'est que s'il y a des pages de logs tous les jours, person ne
n'y prête plus attention, il faut vraiment que les trucs important res sortent
et disparaissent quand ils sont réglés.
--nextPart1524073.8y0MSZSM2K
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
iEYEABECAAYFAk4Iyt8ACgkQDltnDmLJYdAx8QCfYClMnj+exEx5koRirfqD8vAK
/JAAoItbfPAUxw4bb7JDRkPf7AkkQ/Dv
=dVBp
-----END PGP SIGNATURE-----
--nextPart1524073.8y0MSZSM2K--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Apres, en frontend, il y en a plusieurs, ça dépend de la volumétrie à traiter et des affinités. Pour en citer au moins un, tu as graylog2.
Un vraiment bien mais qui peut paraitre lourd, c'est splunk.
Le 27 juin 2011 à 14:27, Romaric DEFAUX a écrit :
Bonjour la liste :) !
Aujourd'hui je me pose la question de savoir si ce serait bien de centraliser l'ensemble des logs de mes serveurs sur un seul serveur, dans une db mysql par exemple. L'avantage serait la simplicité d'analyse, afin de détecter les éventuels problèmes.
Pour l'instant, j'ai un logwatch qui tourne quotidiennement par serveur, mais je reçois environ 150 rapports par jour, et avec le temps je ne les lis plus... D'autant plus que lorsque j'y jette un coup d'il, il n'y a jamais rien de bizarre.
J'ai cherché un peu d'autres analyseurs de logs, qui n'enverrait par exemple un rapport que lorsqu'une anomalie serait détectée, et je suis tombé sur logcheck qui m'a l'air pas mal.
Donc voilà, avant d'aller plus en avant, j'aimerais avoir vos retours d'expérience sur la gestion des logs de vos linux box.
1°) Pour ou contre la centralisation des logs (et si vous connaissez des outils :) )
2°) Les outils que vous utilisez pour monitorer vos logs, remonter les évènements douteux, etc...
Et merci !
Romaric
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Le lundi 27 juin 2011, Romaric DEFAUX a écrit...
ossec
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/