Discussion :

[drKzs]

Bonjour,

Je continue ma recherche sur la journalisation / supervision, et j'ai une question concernant l'architecture possible de syslog (rsyslog à priori, mais je pense que ça n'a pas d'importance pour l'archi générale).

Voici ce que je comptais faire.

J'ai un réseau, avec :
- des machines de traitements (A, B, C)
- un serveur qui héberge l'appli web utilisant A, B, C. Appellons-le SAPP
- un serveur de supervision SVISU

Je voudrais que A, B, C redirige leurs logs vers SAPP.
=> A, B, C ont un démon rsyslog configuré comme client

SAPP stocke ses logs et ceux de A,B,C en local (tâche 1 de SAPP)
=> SAPP a un démon rsyslog configuré en serveur pour recevoir les logs ABC
=> le démon sur SAPP doit-il avoir une configuration spécifique pour recevoir ses propres logs ? (je pense que non, il est déjà en serveur)

SAPP renvoie ses logs (systèmes + appli web) et ceux de ABC vers le serveur de supervision SVISU (tâche 2 de SAPP)
=> SVISU a un démon rsylog configuré en serveur
=> le démon de SAPP doit-il être configuré en relai ?
=> je crois que l'on peut facilement configurer rsyslog pour que selon la source (système, appli web, machines ABC) les logs soient envoyés dans des répertoires différentes de SVISU ? Ou bien c'est au niveau de SVISU que le filtre sera fait ?

Est-ce que tout cela tient la route, je suis preneur de toute suggestion, remarque
Et désolé si le pavé ne semble pas très clair, je suis en cours d'éclaircissement du monde de la supervision / journalisation

Merci

[ram-0000]

Globalement, ce que tu veux faire tient la route, cependant :

Pourquoi A, B et C envoient ils leurs logs à SAPP pour qu'ensuite SAPP forwarde les log reçus de A, B et C plus les siens vers SVISU.

Autant configurer A, B, C et SSAP pour qu'ils envoient leurs logs directement à SVISU. Ainsi, si SSAP tombe en panne, les logs de A, B et C continuent à arriver à SVISU.

En ce qui concerne le rangement des logs dans des répertoires différents, je ne sais pas si rsyslog sait le faire mais syslog-ng le fait très bien. Regarde ici : Présentation du protocole Syslog dans le paragraphe 5.2, il y a un exemple de conf syslog-ng qui stocke les logs dans des répertoires différents en utilisant les variables fournies par syslog-ng.

Autre chose, dans une architecture comme cela avec centralisation des logs, il est impératif d'avoir une synchro horaire des machines. Peu importe que la synchro soit faussa mais il faut que toutes les machines aient la même heure sinon, il est impossible de corréler et d'analyser les logs.

[drKzs]

Pourquoi A, B et C envoient ils leurs logs à SAPP pour qu'ensuite SAPP forwarde les log reçus de A, B et C plus les siens vers SVISU.

Autant configurer A, B, C et SSAP pour qu'ils envoient leurs logs directement à SVISU. Ainsi, si SSAP tombe en panne, les logs de A, B et C continuent à arriver à SVISU.

En fait, pour deux raisons, la première étant que les intervenant sur SAPP ne sont pas les mêmes que sur SVISU. En fait, ce qui est remonté à SVISU est surtout à titre indicatif, donc pour la maintenance SAPP doit avoir toutes les infos.

La deuxième raison découle de la première, ce qui sera reçu au niveau de SAPP devrait être filtré pour ne propager à SVISU que les choses qui le concerne. Heureusement que syslog-ng permet de faire des filtres sur des match de string

Autre chose, dans une architecture comme cela avec centralisation des logs, il est impératif d'avoir une synchro horaire des machines. Peu importe que la synchro soit faussa mais il faut que toutes les machines aient la même heure sinon, il est impossible de corréler et d'analyser les logs.

Oui ça c'est vraiment pas négligeable tiens !

La question que je me pose, c'est au niveau de SAPP:
Est-ce qu'un même démon (r)syslog(-ng) peut:
- Recevoir des logs de machines distantes
- Recevoir des logs de la machine qui l'héberge
- Ecrire tous ces logs en local (et logrotate, bien sur )
- Filtrer tous ces logs et envoyer une partie vers un autre serveur (r)syslog(-ng)

J'ai cru comprendre que oui en surmontant la doc, mais j'en suis pas complètement certain.

[ram-0000]

La question que je me pose, c'est au niveau de SAPP:
Est-ce qu'un même démon (r)syslog(-ng) peut:
- Recevoir des logs de machines distantes
- Recevoir des logs de la machine qui l'héberge
- Ecrire tous ces logs en local (et logrotate, bien sur )
- Filtrer tous ces logs et envoyer une partie vers un autre serveur (r)syslog(-ng)

Pour rsyslog, je ne connais pas assez (mais probablement que oui par contre, je ne sais vraiment pas en ce qui concerne le filtrage). Pour syslog-ng : OUI

[drKzs]

ok, merci pour ton avis