[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:9807] Re: ログサーバー( syslog サーバー)構築に関して
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:9807] Re: ログサーバー( syslog サーバー)構築に関して
- From: tomo <meijibb_27@xxxxxxxxxxx>
- Date: Tue, 4 Oct 2005 12:33:32 +0900 (JST)
花田です。
たくさんの識者によるご意見、ありがとうございます。
勝手ながら、まとめてご返信させていただきます。
# 長くなってしまい、申し訳ありません。
> [connect24h:9798] Re: ログサーバー(syslog サーバー)構築に関して
>
> tokiです。
> >例えば、WinSyslogなどを利用して、
> >Windows系サーバーでログサーバーを構築するという需要は
> >どの程度あるのでしょうか。
>
> 私の知る限りでは、結構あります。
>
> 主に、Unix系OSを運用できる人が
> 少ない企業等ではそうですね。
なるほど。参考になりました。
> >最後に、ログサーバーの二重化を行っているという事例はありますでしょうか?
> >二重化すると、ネットワークパフォーマンスの劣化、サーバーの同期などの
> >問題があるため、運用面から考えると、あまり事例がないのでは、
> >と考えております。
>
> RAIDを組んで、一端、発信Server内にログを蓄積し、
> rsync等でログサーバへ飛ばす方が、syslog飛ばし利用するよりは
> 安全・確実ですね。
この場合のRAIDを組んで、というのはどういうことでしょうか?
理解不足ですみません。
この文章を私は、
リモートのディスクとローカルのディスクで仮想的にRAIDを構成し、
ローカルのログを定期的にリモートに飛ばして、同期をとる、
という理解をしたのですが、合っていますでしょうか。
> Subject: [connect24h:9800] Re: ログサーバー(syslog サーバー)構築に関して
>
> 根津です。
>
> toki wrote:
> > tokiです。
> >
> >
> >>syslogdから機能向上、セキュリティ面の考慮がなされた
> >>syslog-ngがありますが、これからログサーバーを構築する場合、
> >>syslog-ngで構築する方が一般的でしょうか?
> >
> >
> > どちらでも良いと思います。
> > 使いやすく、かつ堅牢であればなお良い、
> > というレベルかと思います。
>
> どちらでも良いと言えばどちらでも良いなのかもしれませんね。
> 大体、現状のUNIX/Linuxパッケージではsyslogdがほとんどなので、
> オペレーションの同一性や、アップデートの自動化などを優先する
> のであれば、syslogdでしょうし、独自にやっていける体制が継続的に
> 築けるのであればsyslog-ngでもいいんじゃないでしょうか?
前提となる条件に関しての考慮が足りなかった、と思いました。
優先事項の順位付けなどを行った上で、検討しなおしてみます。
> >>ログサーバーに関する検証を行うので、
> >>今後一般的となる技術で構築したいと思っております。
>
> 検証をするのであれば、両方を比較して、実際にsyslog-ngでなければ
> 守りようがないシーンを特定するのが必要なんじゃないでしょうか?
リモートでログを管理し、それを有効活用する際に、
どのような脅威があるのかなどを洗い出した上でシナリオを作成し、
両者の比較ができれば、と思います。
> Subject: [connect24h:9803] Re: ログサーバー(syslog サーバー)構築に関して
>
> On Mon, 03 Oct 2005 13:47:22 +0900 (JST)
> Takahiro Kambe <taca@xxxxxxxxxxxxxxx> wrote:
> > In message <4340B719.5040003@xxxxxxxxxxx>
> > on Mon, 03 Oct 2005 13:44:09 +0900,
> > Kensuke Nezu <nez@xxxxxxxxxxx> wrote:
> > > > 最後に、ログサーバーの二重化を行っているという事例はありますでしょうか?
> > > > 二重化すると、ネットワークパフォーマンスの劣化、サーバーの同期などの
> > > > 問題があるため、運用面から考えると、あまり事例がないのでは、
> > > > と考えております。
> > >
> > > ログをサイトで集中管理するような集約サーバの場合は多重化している
> > > ところもあるんじゃないかと思いますが・・・。
某社のセキュリティ担当部署周辺から私が聞いた範囲では、
syslogサーバーを多重化した事例を聞いたことがない、ということでしたので、
提供するソリューションとして一般的であるのかということが知りたかったです。
# もちろん、予算などが許す限り多重化した方が良いと思いますが。
> > syslog-ngの方は存じませんが、syslogの方は所詮UDPによる通信ということは
> > 留意しておくべきです。「二重化」とかしたつもりでも、送ってくるsyslogを
> > 入れたUDPデータグラムが失われることは避けられませんから。
その辺は検証する際には考慮しており、
高トラフィック環境において、どの程度取りこぼしが生じるのか、
などの検証を行う予定です。
> syslog-ngはTCPでログ転送できるそうですよ。
> まあ、送受信の双方にngを使う必要があるようですが。
WindowsServerではsyslog-ngでの送受信ができなくなってしまうようです。
Winsyslogなどを利用してはき出したログは、
syslog-ngで受け取れるようですが。
> あと、既存のsyslogで負荷が高いとローカルでも取りこぼすことがあるので、
> ログファイルは非同期書き込みにしといたほうがよいかも>ログサーバ
ローカルでの取りこぼしに関しての考慮をしておりませんでした。
サーバーの負荷が高い場合の取りこぼしに関する検証も考慮いたします。
> Subject: [connect24h:9804] Re: ログサーバー(syslog サーバー)構築に関して
>
> On Mon, Oct 03, 2005 at 11:18:57AM +0900, tomo wrote:
> >
> > ログサーバー(syslogサーバー)を構築し、
> > Linux、Windowsの各サーバーから転送されるログの
> > 管理・分析を行おうとしています。
> > ログサーバーはRedHat上のsyslogdで動作させます。
> >
> > ここで3つご質問がありますが、
> > syslogdから機能向上、セキュリティ面の考慮がなされた
> > syslog-ngがありますが、これからログサーバーを構築する場合、
> > syslog-ngで構築する方が一般的でしょうか?
>
> RedHat が RHEL だとすると、標準で動くのはsyslogdですね。
> ただ、syslogdは sysklogd というパッケージの中に入っています
> ので、syslogdを止めてsyslog-ng を動かした場合、klogdが
> どうなっちゃうのかはわかりません。
この辺は動作させた上で、有用性を検証してみようと思います。
繰り返しになりますが、たくさんのご意見、ありがとうございます。
--
tomo
<meijibb_27@xxxxxxxxxxx>
--[PR]------------------------------------------------------------------
あなたのウエストにもくびれができる!?★これが噂の中国茶サプリメント★
┌─────────────────────────────────┐
│レースクイーンも愛用! <腸内美人エキスがたったの千円で登場> |
└─────────────────────────────────┘
リピート率約8割!→ http://ad.freeml.com/cgi-bin/ad.cgi?id=d5sTP
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp