遠端監控linux日誌

我想監控幾十台 linux 伺服器上的 syslog 日誌。在理想的世界中，我更喜歡 pull 方法，其中中央監控伺服器每天通過 ssh 從所有機器收集一次日誌，應用通用規則和每個伺服器規則，並報告任何意外的日誌條目。

你有什麼建議嗎？

我寧願不使用集中式系統日誌伺服器。

我已經查看了 ossec，我更願意使用 ssh 進行所有通信，並且更願意避免在受監控的伺服器上安裝任何其他工具

我不確定是否有任何交鑰匙應用程序/解決方案，但您可以輕鬆地在中央監控伺服器上使用 rsyslogimfile模組，該模組可以監控（並通過ommail模組和條件語句發出警報）可能被拉入的任意日誌文件通過rsync和 cron 從你的 Linux 伺服器。

我正在使用 rsyslog 作為中央 syslog 伺服器，並ommail用於向我發送來自我的邊緣防火牆、Squid 代理、核心交換機等的各種事件的警報。效果很好。

使用 Splunk。它有幾種收集和索引日誌的方法。您可以設置一個 cron 作業將伺服器日誌拉入受監控的目錄，即 /var/log/splunk-logs/{server1, server2, etc}。這比僅使用 syslog 需要更多的工作，但應該是可行的。

引用自：https://serverfault.com/questions/262364