Сбор и анализ логов в Linux

[lexore]

Ubuntu Linux 22.04

Может рассказать им про journald?

[Johan_Palych]

В Ubuntu Linux 22.04 используется данная связка: rsyslog, journald(systemd-journald.service) и logrotate. Интеграция journald и rsyslog.

Официальная документация:

https://www.rsyslog.com/doc/v8-stable/configuration/index.html
https://www.rsyslog.com/ubuntu-repository/
https://launchpad.net/~adiscon/+archive/ubuntu/v8-stable?field.series_filter=jammy

[ZillahGiovanni]

У себя решили использовать vector.dev кроме сбора логов собираем аудит, с фильтрацией и обогащением.

[Altwazar]

Логи можно вместо mysql/postgress писать сразу в manticore, чтобы запросы к ним для анализа проходили быстрее. Удобно, что это тот же sql и ничего дополнительно с rsyslog-ом изобретать не надо. Пример template rsyslog:

template(name="StdSQLformat" type="list" option.sql="on") {
        constant(value="insert into system_events (Message, Facility, HostIP, HostName, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag)")
        constant(value=" values ('")
        property(name="msg")
        constant(value="', ")
        property(name="syslogfacility")
        constant(value=", '")
        property(name="fromhost-ip")
        constant(value="', '")
        property(name="hostname")
        constant(value="', ")
        property(name="syslogpriority")
        constant(value=", '")
        property(name="timereported" dateFormat="unixtimestamp")
        constant(value="', '")
        property(name="timegenerated" dateFormat="unixtimestamp")
        constant(value="', ")
        property(name="iut")
        constant(value=", '")
        property(name="syslogtag")
        constant(value="')")
        }

Таблица в мантикоре:

create table system_events(Message text, Facility int, HostIP string, HostName string, Priority int, DeviceReportedTime timestamp, ReceivedAt timestamp, InfoUnitID int, SysLogTag string) engine='columnar' min_prefix_len = '2';