Хранение логов.

Хранить логи оборудования и серверов на отдельном сервере – крайне важно для последующего разбора инцидентов и полетов.

Практический всё активное сетевое оборудование и сервера (любых ОС) имеют подсистему syslog, задачи которой логировать события в системе. Логирование по-умолчанию происходит локально в системе (хранится в памяти или на диске устройства).

Для упрощения просмотра и хранения событий службы syslog, как правило, используется удаленный syslog-сервер.

При этом мы рекомендуем не выдавать администраторам серверов и оборудования административные права в серверу хранения логов, чтобы мы могли быть уверены в полноте и корректности информации на syslog-сервере.

Мы реализовали syslog-сервер на базе ОС Linux CentOS 7 x64, rsyslog+Kibana+ElasticSearch.

Сообщения syslog от сетевых устройств поступают в установленную поисковую службу ElasticSearch, которая их сохраняет и позволяет производить полнотекстовый поиск по имеющимся данным. Для удобства работы с ElasticSearch, развернуто web-приложение – Kibana.

Получаем удобный и очень гибкий инструмент для поиска и анализа инцидентов на сети и сервисах.