MontBlanc Skrevet 3. desember 2013 Del Skrevet 3. desember 2013 Er det noen som har erfaring med å bruke Splunk, spesielt til syslog-server? Eventuelt erfaring med noe annet til Syslog? Lenke til kommentar
sk0yern Skrevet 3. desember 2013 Del Skrevet 3. desember 2013 Splunk fungerer utmerket til dette, se f.eks http://docs.splunk.com/Documentation/Splunk/6.0/Data/SyslogUDP Merk at du må inn med litt iptables-magic dersom du ikke kjører splunk som root, for å kunne ta i mot data på standard syslog port (514). Når det er sagt, legg merke til at når man gjør endringer i splunk, trengs det ofte en restart. Du vil da miste syslogmeldinger i den perioden splunk er nede. Lenke til kommentar
MontBlanc Skrevet 3. desember 2013 Forfatter Del Skrevet 3. desember 2013 Ja, har sett at man da mister de meldingene som kommer inn imens man rebooter, vi du da anbefale å bruke en relay-server i tillegg? Lenke til kommentar
sk0yern Skrevet 4. desember 2013 Del Skrevet 4. desember 2013 Det avhenger litt av størrelsen på miljøet ditt, og hvor kritisk det er å ikke miste meldinger. Dersom du har mulighet ville jeg kjørt en eller flere virtuelle maskiner med en standard syslogserver. På samme maskiner kjører du en splunkforwarder som sender dataene videre til Splunk. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå