Re: Zentraler Syslogserver

Am Sa, den 02.10.2004 schrieb Thomas Vogt um 11:55:
> Oliver Fromme wrote:
> > Thomas Vogt <freebsdlists(at)bsdunix.ch> wrote:
> > > Ich würde gerne einen Zentralen Syslogserver betreiben. Mir fallen
> > > jedoch keine fehlertoleranten Lösungen ein.
> > >
> > > Problem: Was macht man, wenn der Zentrale Syslog Server offline ist
> > > (z.b. durch einen Reboot oder bei einem HW Ausfall). Die Meldungen der
> > > Clients sollten auch in diesem Fall nicht verloren gehen.
> > > Somit kommt vermutlich das Versenden der Syslog-Meldungen per UDP nicht
> > > in Frage. Was zur Folge hat, dass der default syslogd wohl schonmal
> > > wegfällt.
> > > Syslog-ng unterstützt TCP. Jedoch habe ich keinen Hinweis gefunden, dass
> > > dieser Daemon mit diesem Problem zurecht kommt.
> > > Idealerweise müssten die Syslog Clients merken, dass der Zentrale Server
> > > nicht verfügbar ist und somit ihre Meldungen "buffern".
> > >
> > > Mir ist schon klar, dass man so ein Problem vermutlich mit einem Cluster
> > > als Zentralensyslogd erschlagen kann.
> > > Ein anderes Szenario wären wohl 2 getrennte Zentrale Syslogserver in
> > > verschiedenen Netzen. Könnte jedoch ein Performance Problem werden, wenn
> > > ich 2 Server gleichzeitig bedienen muss. Ausserdem hab ich dann noch
> > > immer das Problem, dass die Logs nicht synchronisiert sind. Das könnte
> > > man per Script sicher lösen. Da ich jedoch vor habe die Logs nur alle 7
> > > Tage zu rotieren, wären die Server zumindest für eine Woche "desynced"
> > > nach einem Ausfall.
> > >
> > > Gibt es jedoch keine günstige/einfache Lösung?
> >
> > Du kannst in der syslog.conf einfach zwei syslog-Server
> > eintragen. Ich hätte auch keine Gewissensbisse, dabei
> > UDP zu verwenden, wenn davon auszugehen ist, daß immer
> > mindestens einer der beiden Server online ist. Und in
> > einem geswitchten LAN, das nicht überlastet ist, sollte
> > man davon ausgehen, daß kein UDP-Paket verloren geht.
>
> Ich hatte weniger Angst, dass UDP-Pakete im Netz verloren gehen. Sondern
> einfach, dass die Clients weiterhin UDP Packete abschicken, auch wenn
> der Server down ist. Aber mit 2 Server sollte es eigentlich gehen.
>
> > Was die Belastung der Clients angeht, kann ich mir nicht
> > vorstellen, daß das etwas ausmacht. Guck Dir mal auf
> > einem Rechner, der viele Logeinträge produziert, an, wo
> > der syslogd in der Anzeige von »top« steht. Ich wette,
> > der ist unter »ferner liefen«, sprich, nahezu Null.
>
> Wo du recht hast, hast du recht. Der Syslog auf den Clients selbst
> braucht wenig cpu. Aber die Kisten sind halt schon so sehr ausgelastet.
> Aber ich werds mal so laufen lassen.
>
> > Eine Alternative wäre, alle Logeinträge (ausschließlich
> > oder zusätzlich) lokal in eine Datei zu loggen, und diese
> > Datei einmal pro Stunde (o.ä.) auf den Logserver oder
> > einen weiteren Rechner zu syncen. Das ist zwar nicht
> > gerade eine supertolle Sache, aber Du fragtest nach
> > günstigen/einfachen Lösungen.;-)
>
> Das war die alte Lösung :) Ich dachte eine Zentraler Syslogserver wäre
> ein Fortschritt ;) Aber auf kritischen Systemen werde ich sowieso immer
> zusätzlich noch lokal loggen lasen.
>
>
> > Es gibt natürlich noch diverse teure Lösungen.
>
> Teuer wegen Lizenzen oder HW?

Sind die Logs so wichtig ?
;-)
Werden die nur archiviert ? Ich kann mir kaum vorstellen, das es Leute
gibt, die GB-weise raw-syslogs von Hand durchsehen....

Sonst gibt's noch prelude: http://www.prelude-ids.org

Hat das jemand schonmal im großen Stil benutzt ?

Rainer

-- 
===================================================
~     Rainer Duffner - rainer(at)ultra-secure.de     ~
~           Freising - Munich - Germany           ~
~    Unix - Linux - BSD - OpenSource - Security   ~
~  http://www.ultra-secure.de/~rainer/pubkey.pgp  ~
===================================================
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message