私はrsyslogで集中ログを使用しています。つまり、すべてのサーバーからsyslogメッセージを収集する専用のログサーバーがあります。
ログのすべての検査は、これらのロギングサーバーから実行されます。つまり、システム管理者は、ローカルの/var/log/*
ファイルを表示するためにマシン自体をSSHで接続することはありません。
ディスク使用量を(わずかに)減らすために、ローカルsyslogを無効にすることをお勧めします。
それ、どうやったら出来るの? $IncludeConfig /etc/rsyslog.d/*.conf
から/etc/rsyslog.conf
行を削除するだけで十分ですか?
さらに重要なことに、それを行うことの欠点やリスクはありますか?集中ログを使用すると、一部のログメッセージが失われる可能性があることを読んだことを思い出します(ローカルログと集中ログを比較して、ここにあるかどうかを確認することにより、メッセージが数週間失われたかどうかを確認します)。他のリスクはありますか?
注:重要な場合、ディストリビューションはUbuntu 14.04ですが、他のディストリビューションの回答にも興味があります。
無効にする場合は、トランスポート方法をTCPに設定する必要があります。 UDPがデフォルトであり、エラー制御はありません。ローカルロギングの行を削除することは正しいです。そのconfファイルはrsyslogにロギングのソースと宛先を通知するため、宛先を削除すると、そこには移動しなくなります。