rsyslog: tcp ou udp ?

Logguer est important. Logguer de manière centrale est une bonne idée !

Nous avons déjà évoqué cela ici. Donc vous devez avoir, si vous suivez nos conceils, mis en place une architecture de logs centralisée à base de client et serveurs syslog. Du fait de l’historique (ancien) de syslog, les messages sont par défaut envoyé via le protocole UDP. Cela permet d’être un peu plus rapide, mais souffre d’un gros défaut que vous n’avez peut être pas remarqué : La taille maximale d’un message en UDP est limitée !

Sur des access logs on peut se retrouver avec des lignes tronquées en 2 messages. Ce qui n’est pas super si vous faites de l’analyse de logs par la suite.

La solution : Si vous utilisez rsyslog passez en TCP coté client. Cela se fait comme ceci :

user.* @@monserveur

Un simple double ‘@@’ permet de passer en TCP.

Ensuite positionnez la variable $MaxMessageSize au début de votre fichier /etc/rsyslog.conf, redémarrer rsyslog et vous allez voir la limite de vos messages augmentée !

Tags:

No comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.