중앙 집중식 로깅을 위해 rsyslog를 사용합니다. 이는 모든 서버에서 syslog 메시지를 수집하는 전용 로그 서버가 있음을 의미합니다.
모든 로그 확인은 이러한 로그 서버에서 수행됩니다. 즉, 시스템 관리자는 /var/log/*SSH 시스템 자체를 통해 로컬 파일을 볼 수 없습니다.
디스크 사용량을 (약간) 줄이려면 로컬 시스템 로그를 비활성화하는 것이 좋을 것이라고 생각했습니다.
어떻게 해야 하나요? 그냥 줄을 제거하는 것만으로도
$IncludeConfig /etc/rsyslog.d/*.conf충분합니까/etc/rsyslog.conf?더 중요한 것은, 이 작업을 수행하는 데 단점이나 위험이 있습니까? 중앙 집중식 로깅을 사용하면 일부 로그 메시지가 손실될 수 있다는 글을 읽은 기억이 납니다. (이런 경우 메시지가 손실되는지 확인하기 위해 몇 주 동안 로컬 및 중앙 로그를 비교하여 확인하겠습니다.) 다른 위험이 있습니까?
참고: 중요한 경우 배포판은 Ubuntu 14.04이지만 다른 배포판에 대한 답변에도 관심이 있습니다.
답변1
비활성화하는 경우 전송 방법을 TCP로 설정해야 합니다. UDP는 기본값이며 오류 제어 기능이 없습니다. 로컬 로깅 삭제에 대한 귀하의 의견이 정확합니다. 이 conf 파일은 rsyslog에 로깅의 소스와 대상이 무엇인지 알려주므로 대상을 제거하면 더 이상 해당 위치로 이동하지 않습니다.