[HS] Gestion des logs

4 réponses
Avatar
Romaric DEFAUX
Bonjour la liste :) !


Aujourd'hui je me pose la question de savoir si ce serait bien de
centraliser l'ensemble des logs de mes serveurs sur un seul serveur,
dans une db mysql par exemple. L'avantage serait la simplicité
d'analyse, afin de détecter les éventuels problèmes.
Pour l'instant, j'ai un logwatch qui tourne quotidiennement par serveur,
mais je reçois environ 150 rapports par jour, et avec le temps je ne les
lis plus... D'autant plus que lorsque j'y jette un coup d'œil, il n'y a
jamais rien de bizarre.
J'ai cherché un peu d'autres analyseurs de logs, qui n'enverrait par
exemple un rapport que lorsqu'une anomalie serait détectée, et je suis
tombé sur logcheck qui m'a l'air pas mal.
Donc voilà, avant d'aller plus en avant, j'aimerais avoir vos retours
d'expérience sur la gestion des logs de vos linux box.
1°) Pour ou contre la centralisation des logs (et si vous connaissez des
outils :) )
2°) Les outils que vous utilisez pour monitorer vos logs, remonter les
évènements douteux, etc...

Et merci !

Romaric

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4E087735.6090608@audaxis.com

4 réponses

Avatar
David S.
Salut,

Dans mon cadre pro, on centralise tous nos logs avec syslog-ng et
rsyslog selon les distributions. Utile notamment en cas de requête des
décideurs ou en cas de soucis avec la justice. On stocke les fichiers en
brut par contre (avec compression au bout d'un temps donné).

Voilà pour ce que je peux dire.

David

On Mon, 27 Jun 2011 14:27:33 +0200, Romaric DEFAUX wrote:
Bonjour la liste :) !


Aujourd'hui je me pose la question de savoir si ce serait bien de
centraliser l'ensemble des logs de mes serveurs sur un seul serveur,
dans une db mysql par exemple. L'avantage serait la simplicité
d'analyse, afin de détecter les éventuels problèmes.
Pour l'instant, j'ai un logwatch qui tourne quotidiennement par
serveur, mais je reçois environ 150 rapports par jour, et avec le
temps je ne les lis plus... D'autant plus que lorsque j'y jette un
coup d'œil, il n'y a jamais rien de bizarre.
J'ai cherché un peu d'autres analyseurs de logs, qui n'enverrait par
exemple un rapport que lorsqu'une anomalie serait détectée, et je
suis
tombé sur logcheck qui m'a l'air pas mal.
Donc voilà, avant d'aller plus en avant, j'aimerais avoir vos retours
d'expérience sur la gestion des logs de vos linux box.
1°) Pour ou contre la centralisation des logs (et si vous connaissez
des outils :) )
2°) Les outils que vous utilisez pour monitorer vos logs, remonter
les évènements douteux, etc...

Et merci !

Romaric



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Gilles Mocellin
--nextPart1524073.8y0MSZSM2K
Content-Type: Text/Plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

On Mon, 27 Jun 2011 14:27:33 +0200, Romaric DEFAUX wrote:
> Bonjour la liste :) !
>
>
> Aujourd'hui je me pose la question de savoir si ce serait bien de
> centraliser l'ensemble des logs de mes serveurs sur un seul serveur,
> dans une db mysql par exemple. L'avantage serait la simplicité
> d'analyse, afin de détecter les éventuels problèmes.
> Pour l'instant, j'ai un logwatch qui tourne quotidiennement par
> serveur, mais je reçois environ 150 rapports par jour, et avec le
> temps je ne les lis plus... D'autant plus que lorsque j'y jette un
> coup d'œil, il n'y a jamais rien de bizarre.
> J'ai cherché un peu d'autres analyseurs de logs, qui n'enverrait p ar
> exemple un rapport que lorsqu'une anomalie serait détectée, e t je
> suis
> tombé sur logcheck qui m'a l'air pas mal.
> Donc voilà, avant d'aller plus en avant, j'aimerais avoir vos reto urs
> d'expérience sur la gestion des logs de vos linux box.
> 1°) Pour ou contre la centralisation des logs (et si vous connaiss ez
> des outils :) )
> 2°) Les outils que vous utilisez pour monitorer vos logs, remonter
> les évènements douteux, etc...
>
> Et merci !
>
> Romaric


Le Monday 27 June 2011 14:33:25 David S., vous avez écrit :
Salut,

Dans mon cadre pro, on centralise tous nos logs avec syslog-ng et
rsyslog selon les distributions. Utile notamment en cas de requête des
décideurs ou en cas de soucis avec la justice. On stocke les fichie rs en
brut par contre (avec compression au bout d'un temps donné).

Voilà pour ce que je peux dire.

David



Idem, avec insertion dans une base pour les regarder/chercher avec php-sysl og-
ng.
Sinon, logcheck tourne sur le fichier de log central pour nous envoyer par mail
tout ce qui sort du "normal".
Ca nécessite de tunner les règles d'ignore, surtout quand on est multi-
distribs, multi-os...

Ce qui est sur, c'est que s'il y a des pages de logs tous les jours, person ne
n'y prête plus attention, il faut vraiment que les trucs important res sortent
et disparaissent quand ils sont réglés.



--nextPart1524073.8y0MSZSM2K
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEABECAAYFAk4Iyt8ACgkQDltnDmLJYdAx8QCfYClMnj+exEx5koRirfqD8vAK
/JAAoItbfPAUxw4bb7JDRkPf7AkkQ/Dv
=dVBp
-----END PGP SIGNATURE-----

--nextPart1524073.8y0MSZSM2K--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
David Hymonnet
Je dirai que centraliser les logs est indispensable à partir d'un certain nombre de serveurs. Syslog-ng fait très bien le travail, voir logstash

Apres, en frontend, il y en a plusieurs, ça dépend de la volumétrie à traiter et des affinités. Pour en citer au moins un, tu as graylog2.

Un vraiment bien mais qui peut paraitre lourd, c'est splunk.

Le 27 juin 2011 à 14:27, Romaric DEFAUX a écrit :

Bonjour la liste :) !


Aujourd'hui je me pose la question de savoir si ce serait bien de centraliser l'ensemble des logs de mes serveurs sur un seul serveur, dans une db mysql par exemple. L'avantage serait la simplicité d'analyse, afin de détecter les éventuels problèmes.
Pour l'instant, j'ai un logwatch qui tourne quotidiennement par serveur, mais je reçois environ 150 rapports par jour, et avec le temps je ne les lis plus... D'autant plus que lorsque j'y jette un coup d'œil, il n'y a jamais rien de bizarre.
J'ai cherché un peu d'autres analyseurs de logs, qui n'enverrait par exemple un rapport que lorsqu'une anomalie serait détectée, et je suis tombé sur logcheck qui m'a l'air pas mal.
Donc voilà, avant d'aller plus en avant, j'aimerais avoir vos retours d'expérience sur la gestion des logs de vos linux box.
1°) Pour ou contre la centralisation des logs (et si vous connaissez des outils :) )
2°) Les outils que vous utilisez pour monitorer vos logs, remonter les évènements douteux, etc...

Et merci !

Romaric

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Michel OLTRA
Bonjour,


Le lundi 27 juin 2011, Romaric DEFAUX a écrit...


2°) Les outils que vous utilisez pour monitorer vos logs, remonter
les évènements douteux, etc...



ossec

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/