LINUX.ORG.RU
ФорумAdmin

Отправка syslog в базу

 , ,


0

1

Включена отсылка сообщений системного журнала в базу Syslog

$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,passw

Ниже выборка одного из сообщений, проблема в том что в таблице есть поля

  • SysLogTag
  • processid

Я полагаю, что в поле SysLogTag не должно содержаться processid, а оно содержится

sshd[3489]:

По моему мнению запись должна выглядеть так:

  • SysLogTag = sshd
  • processid = 3489
mysql> SELECT * 
    -> FROM  `SystemEvents` 
    -> WHERE  `ID` =5
    -> LIMIT 0 , 30;
+----+------------+---------------------+---------------------+----------+----------+----------+-----------------------------------------------------------+------------+------------+-------------+-----------+---------------+---------+-----------------+--------------+-----------+----------+----------+------------+-------------+--------------+-----------------+----------+-----------+----------+
| ID | CustomerID | ReceivedAt          | DeviceReportedTime  | Facility | Priority | FromHost | Message                                                   | NTSeverity | Importance | EventSource | EventUser | EventCategory | EventID | EventBinaryData | MaxAvailable | CurrUsage | MinUsage | MaxUsage | InfoUnitID | SysLogTag   | EventLogType | GenericFileName | SystemID | processid | checksum |
+----+------------+---------------------+---------------------+----------+----------+----------+-----------------------------------------------------------+------------+------------+-------------+-----------+---------------+---------+-----------------+--------------+-----------+----------+----------+------------+-------------+--------------+-----------------+----------+-----------+----------+
|  5 |       NULL | 2015-03-07 13:33:10 | 2015-03-07 13:33:10 |       10 |        6 | log      |  pam_unix(sshd:session): session closed for user petya |       NULL |       NULL | NULL        | NULL      |          NULL |    NULL | NULL            |         NULL |      NULL |     NULL |     NULL |          1 | sshd[3489]: | NULL         | NULL            |     NULL |           |        0 |
+----+------------+---------------------+---------------------+----------+----------+----------+-----------------------------------------------------------+------------+------------+-------------+-----------+---------------+---------+-----------------+--------------+-----------+----------+----------+------------+-------------+--------------+-----------------+----------+-----------+----------+
1 row in set (0.00 sec)


Что подкрутить?

★★★★★

Кастомный формат запили. Я этого наелся, когда разгребал логи с разного железа. Каждая железяка шлет по-своему, а надо привести к одному виду.

andrew667 ★★★★★ ()
Ответ на: комментарий от andrew667

Я этого наелся, когда разгребал логи с разного железа. Каждая железяка шлет по-своему, а надо привести к одному виду.

Если бы железо разное, так это «sshd» и прочие «cron» аналогично.

petav ★★★★★ ()

Оказывается MonitorWare схеме так и должно быть

$template tpl,«insert into SystemEvents (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%HOSTNAME%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')»,SQL

(c) MySQL Database Output Module

petav ★★★★★ ()

Сначала логи героически в базу вкорячиваем, а потом также героически вытаскиваем, когда она начнет затыкаться.

bj ()
Ответ на: комментарий от bj

когда она начнет затыкаться.

Про партиционирование что-нибудь слышал, пионер?

router ★★★★★ ()
Ответ на: комментарий от router

А ты, пионер, видимо не слышал про хадупчик и тяжелую аналитику. А для простых выборок достаточно грепа и авка. База для логов не нужна практически никогда.

bj ()
Ответ на: комментарий от bj

Я считаю, Вы ошибаетесь отстаивая свою первоначальную точку зрения. База нужна, когда логов много и выборки сложные, а так да, 2Mb syslog`а одного устройства можно и грепать.

petav ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.