Re: Zentraler Syslogserver

Thomas Vogt <freebsdlists(at)bsdunix.ch> wrote:
> Ich würde gerne einen Zentralen Syslogserver betreiben. Mir fallen
> jedoch keine fehlertoleranten Lösungen ein.
>
> Problem: Was macht man, wenn der Zentrale Syslog Server offline ist
> (z.b. durch einen Reboot oder bei einem HW Ausfall). Die Meldungen der
> Clients sollten auch in diesem Fall nicht verloren gehen.
> Somit kommt vermutlich das Versenden der Syslog-Meldungen per UDP nicht
> in Frage. Was zur Folge hat, dass der default syslogd wohl schonmal
> wegfällt.
> Syslog-ng unterstützt TCP. Jedoch habe ich keinen Hinweis gefunden, dass
> dieser Daemon mit diesem Problem zurecht kommt.
> Idealerweise müssten die Syslog Clients merken, dass der Zentrale Server
> nicht verfügbar ist und somit ihre Meldungen "buffern".
>
> Mir ist schon klar, dass man so ein Problem vermutlich mit einem Cluster
> als Zentralensyslogd erschlagen kann.
> Ein anderes Szenario wären wohl 2 getrennte Zentrale Syslogserver in
> verschiedenen Netzen. Könnte jedoch ein Performance Problem werden, wenn
> ich 2 Server gleichzeitig bedienen muss. Ausserdem hab ich dann noch
> immer das Problem, dass die Logs nicht synchronisiert sind. Das könnte
> man per Script sicher lösen. Da ich jedoch vor habe die Logs nur alle 7
> Tage zu rotieren, wären die Server zumindest für eine Woche "desynced"
> nach einem Ausfall.
>
> Gibt es jedoch keine günstige/einfache Lösung?

Du kannst in der syslog.conf einfach zwei syslog-Server
eintragen. Ich hätte auch keine Gewissensbisse, dabei
UDP zu verwenden, wenn davon auszugehen ist, daß immer
mindestens einer der beiden Server online ist. Und in
einem geswitchten LAN, das nicht überlastet ist, sollte
man davon ausgehen, daß kein UDP-Paket verloren geht.

Was die Belastung der Clients angeht, kann ich mir nicht
vorstellen, daß das etwas ausmacht. Guck Dir mal auf
einem Rechner, der viele Logeinträge produziert, an, wo
der syslogd in der Anzeige von »top« steht. Ich wette,
der ist unter »ferner liefen«, sprich, nahezu Null.

Eine Alternative wäre, alle Logeinträge (ausschließlich
oder zusätzlich) lokal in eine Datei zu loggen, und diese
Datei einmal pro Stunde (o.ä.) auf den Logserver oder
einen weiteren Rechner zu syncen. Das ist zwar nicht
gerade eine supertolle Sache, aber Du fragtest nach
günstigen/einfachen Lösungen.;-)

Es gibt natürlich noch diverse teure Lösungen.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
One Unix to rule them all, One Resolver to find them,
One IP to bring them all and in the zone to bind them.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message