web-dev-qa-db-ja.com

ローカルSyslogを無効にするにはどうすればよいですか。

私はrsyslogで集中ログを使用しています。つまり、すべてのサーバーからsyslogメッセージを収集する専用のログサーバーがあります。

ログのすべての検査は、これらのロギングサーバーから実行されます。つまり、システム管理者は、ローカルの/var/log/*ファイルを表示するためにマシン自体をSSHで接続することはありません。

ディスク使用量を(わずかに)減らすために、ローカルsyslogを無効にすることをお勧めします。

  • それ、どうやったら出来るの? $IncludeConfig /etc/rsyslog.d/*.confから/etc/rsyslog.conf行を削除するだけで十分ですか?

  • さらに重要なことに、それを行うことの欠点やリスクはありますか?集中ログを使用すると、一部のログメッセージが失われる可能性があることを読んだことを思い出します(ローカルログと集中ログを比較して、ここにあるかどうかを確認することにより、メッセージが数週間失われたかどうかを確認します)。他のリスクはありますか?

注:重要な場合、ディストリビューションはUbuntu 14.04ですが、他のディストリビューションの回答にも興味があります。

3

無効にする場合は、トランスポート方法をTCPに設定する必要があります。 UDPがデフォルトであり、エラー制御はありません。ローカルロギングの行を削除することは正しいです。そのconfファイルはrsyslogにロギングのソースと宛先を通知するため、宛先を削除すると、そこには移動しなくなります。

1
Tom Damon