Wir haben 50+ Server, die alle viele Protokolle generieren, und sie werden über rsyslog an eine dritte Partei (Logtrust) gesendet, damit wir eine zentralisierte Analyse durchführen können. Logtrust ermöglicht auch Echtzeitanalysen.Best Practices für die netzwerkfähige zentralisierte Protokollierung
Ab sofort speichern wir keine lokalen Dateiprotokolle unserer Anwendungen. Sie alle schreiben in syslog - das schreibt direkt an Logtrust.
Ich möchte nicht alle unsere Protokolle lokal, aber ich bin besorgt über die harte Abhängigkeit von Drittanbieter/Off-Maschine. Wenn unsere Logs aus irgendeinem Grund nicht zu ihnen gelangen (Probleme mit der lokalen Konfiguration, lokale Relays, Serverabstürze von Drittanbietern, Netzwerk-/ISP-Probleme), haben wir keinen Einblick in unsere Logs.
Wir können Rsyslog auch in eine lokale Datei schreiben und log drehen, damit es nicht zu groß wird (1 GB zum Beispiel), oder wir können jede Anwendung ein eigenes T-Stück zu Syslog und einer lokalen Datei verwalten.
Wie groß wäre diese Dateigrenze? Sollten wir uns überhaupt lokal einloggen? Was sind die besten Praktiken der Branche?