Re: Zentraler Syslogserver

Oliver Fromme wrote:
> Thomas Vogt <freebsdlists(at)bsdunix.ch> wrote:
> > Ich würde gerne einen Zentralen Syslogserver betreiben. Mir fallen
> > jedoch keine fehlertoleranten Lösungen ein.
> >
> > Problem: Was macht man, wenn der Zentrale Syslog Server offline ist
> > (z.b. durch einen Reboot oder bei einem HW Ausfall). Die Meldungen der
> > Clients sollten auch in diesem Fall nicht verloren gehen.
> > Somit kommt vermutlich das Versenden der Syslog-Meldungen per UDP nicht
> > in Frage. Was zur Folge hat, dass der default syslogd wohl schonmal
> > wegfällt.
> > Syslog-ng unterstützt TCP. Jedoch habe ich keinen Hinweis gefunden, dass
> > dieser Daemon mit diesem Problem zurecht kommt.
> > Idealerweise müssten die Syslog Clients merken, dass der Zentrale Server
> > nicht verfügbar ist und somit ihre Meldungen "buffern".
> >
> > Mir ist schon klar, dass man so ein Problem vermutlich mit einem Cluster
> > als Zentralensyslogd erschlagen kann.
> > Ein anderes Szenario wären wohl 2 getrennte Zentrale Syslogserver in
> > verschiedenen Netzen. Könnte jedoch ein Performance Problem werden, wenn
> > ich 2 Server gleichzeitig bedienen muss. Ausserdem hab ich dann noch
> > immer das Problem, dass die Logs nicht synchronisiert sind. Das könnte
> > man per Script sicher lösen. Da ich jedoch vor habe die Logs nur alle 7
> > Tage zu rotieren, wären die Server zumindest für eine Woche "desynced"
> > nach einem Ausfall.
> >
> > Gibt es jedoch keine günstige/einfache Lösung?
>
> Du kannst in der syslog.conf einfach zwei syslog-Server
> eintragen. Ich hätte auch keine Gewissensbisse, dabei
> UDP zu verwenden, wenn davon auszugehen ist, daß immer
> mindestens einer der beiden Server online ist. Und in
> einem geswitchten LAN, das nicht überlastet ist, sollte
> man davon ausgehen, daß kein UDP-Paket verloren geht.

Ich hatte weniger Angst, dass UDP-Pakete im Netz verloren gehen. Sondern
einfach, dass die Clients weiterhin UDP Packete abschicken, auch wenn
der Server down ist. Aber mit 2 Server sollte es eigentlich gehen.

> Was die Belastung der Clients angeht, kann ich mir nicht
> vorstellen, daß das etwas ausmacht. Guck Dir mal auf
> einem Rechner, der viele Logeinträge produziert, an, wo
> der syslogd in der Anzeige von »top« steht. Ich wette,
> der ist unter »ferner liefen«, sprich, nahezu Null.

Wo du recht hast, hast du recht. Der Syslog auf den Clients selbst
braucht wenig cpu. Aber die Kisten sind halt schon so sehr ausgelastet.
Aber ich werds mal so laufen lassen.

> Eine Alternative wäre, alle Logeinträge (ausschließlich
> oder zusätzlich) lokal in eine Datei zu loggen, und diese
> Datei einmal pro Stunde (o.ä.) auf den Logserver oder
> einen weiteren Rechner zu syncen. Das ist zwar nicht
> gerade eine supertolle Sache, aber Du fragtest nach
> günstigen/einfachen Lösungen.;-)

Das war die alte Lösung :) Ich dachte eine Zentraler Syslogserver wäre
ein Fortschritt ;) Aber auf kritischen Systemen werde ich sowieso immer
zusätzlich noch lokal loggen lasen.

> Es gibt natürlich noch diverse teure Lösungen.

Teuer wegen Lizenzen oder HW?

Danke und Gruss
Thomas

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 02 Oct 2004 - 11:55:40 CEST