Какие базовые логи собирать для RHEL/Rocky в Graylog?

Question

[dmvlch_dev]

Всем привет!

Изучаю Graylog, хочу настроть сбор базовых системных логов в системах RHEL 8, 9.
Все ли логи расположенные в директории /var/log/ необходимо собирать, или есть еще какие то логи которые стоит иметь ввиду?

Answer 1

[ky0]

Подход неверный. Надо не файлики из /var/log таскать, а заворачивать всё в syslog - и оттуда отправлять в Graylog.

Comments

[dmvlch_dev]

Спасибо за ответ!
Можно ли настроить шфрование с таким подходом?
Можете посоветовать туториал или статью где описывается процесс, в этом деле я не совсем опытен?

[ky0]

dmvlch_dev, да, syslog поддерживает TLS - https://www.rsyslog.com/doc/tutorials/tls_cert_sum...

Не уверен насчёт производительности такого решения, но на небольших объёмах проблем быть не должно.

[dmvlch_dev]

ky0, спасибо!
Я так понимаю, при этом подходе необходимо настроить input syslog (TCP/UDP) в Graylog и не нужно использовать filebeat и в чем преимущество такого подхода?

[ky0]

dmvlch_dev, да, всё верно.

Преимущество в том, что вы используете универсальный подход, который не нужно будет модифицировать при появлении новых сервисов на хосте. Ну и вместо тектовых файликов, которые занимают много места, у вас всё лежит в едином журнале, данные которого сжаты и ротируются автоматически.