Оптимизация работы связки syslog-ng + mysql

Так как я с базами данных дружу от слова - «совсем никак», прошу помощи по оптимизации схемы.

Так может использовать готовые решения, типа graylog + фильтрация событий на отправку на устройствах? И голову себе морочить не будешь, и место сэкономишь

WiZ_Ed прав, насчет готовых решений. Также можно поставить связку Fluentd(сбор логов) + ElasticSearch(No-SQL база данных) + Kibana(визуальное отображение логов, с возможностью фильтрации, построения графиков и т.д).

Решил прикрутить ко всем этому базу данных mysql.

А какой цели надо было достигнуть ?

Прошу прощение чем ваш предложенный вариант принципиально отличается от того что я сделал? Помимо того что то что предлагаете вы мне придется осваивать, а то что я реализовал мне немного знакомо. Если конечно ваш вариант экономит место в сравнении с моим или есть еще какие-нибудь полезные «плюшки» то пожалуйста посвятите меня, ибо я не в теме.

Прошу прощение не сразу увидел описаные возможности, в дальнейшем к моему варианту будет прикручен вебанализатор логов с фильтром, графиками и прочими плюшками. В настоящий момент стоит вопрос в отпимизации записи дабы логи не занимали 100 гигов за день в базе вместо 18 гигов в архивном файле.

Проблема в том что фильтр есть и в syslog-ng, но суть в том что руководство хочет иметь возможность посмотреть кто, когда, куда и откуда ходил, причем логируется не только http трафик. Я так понимаю это аналог того что ведут интернет операторы для спец-служб.

Цель как и написал товарищ выше постом, удобный просмотр и фильтр логов. С возможностью построения графиков и поиском по заданным параметрам.

1) х.з. что там с mysql. может попробовать файловую систему со сжатием ? 2) в cron задание вставить не вариант ? вообще-то базу можно партиционировать, но это не mysql. 3) rsyslog достаточно гибок, можешь писать по желанию. ненужные поля можно выкинуть. вот пример шаблона: $template sql0, «insert into events \ ( receivedat, \ devicereportedtime, \ facility, \ priority, \ fromhost, \ fromip, \ syslogtag, \ processid, \ message \ ) \ values \ ( '%timegenerated:::date-rfc3339%', \ '%timereported:::date-rfc3339%', \ %syslogfacility%, \ %syslogpriority%, \ '%HOSTNAME:R,ERE,1,FIELD:(^.+)\.mydomain\.ru--end%', \ '%fromhost-ip%'::inet, \ trim('%syslogtag:R,ERE,1,FIELD:([^][]+)(\[[0-9]{1,6}\])?:--end%'), \ '%syslogtag:R,ERE,1,ZERO:\[([0-9]{1,8})\]--end%', \ trim('%msg%'))», stdSQL

rsyslog достаточно гибок

В теме syslog-ng, он не менее гибок вообще-то. Где-то, даже, более.

но суть в том что руководство хочет иметь возможность посмотреть кто,
когда, куда и откуда ходил, причем логируется не только http трафик.

В смысле ? Речь про кто/куда по IP, а не кто/куда по своим устройствам/серверам/разное ?

именно так, ip у нас привязываются к маку. Поэтому это почти тоже самое что и по устройствам.

именно так, ip у нас привязываются к маку. Поэтому это почти тоже самое что и по устройствам.

Нет. Я не про это. syslog нужен для того, чтобы собирать какие-то системные сообщения. syslog-сервер сервер может собирать такие сообщения, посланные через сеть с других устройств. Зашёл на коммутатор - коммутатор послал на сервер сообщение «ко мне зашёл тот-то так-то». При чём тут фраза «причем логируется не только http трафик» - это совершенно непонятно. Учёт трафика к syslog-у отношения не имеет совершенно.

Хотя, наверное, можно придумать, как такую статистику и в syslog писать, но это как-то так стоя, и в гамаке. :-)

1) Включаем движок InnoDB barracuda, указываем что каждая таблица в отдельном файле, включаем компрессию для таблиц - https://dev.mysql.com/doc/refman/5.5/en/innodb-compression-usage.html

2) Включаем партицирование в MySQL, например сделать разбиение на 7 суток с удалением устаревших секций. Вот пример разбиения для БД Zabbix http://mpls-net.blogspot.ru/2013/10/zabbix-mysql.html

Спасибо, за помощь. Это я и искал :)

Так и есть порядка 500 сетевых железок шлют свои логи, об ошибках об авторизации об отвалившемся Линке и т.д. Все это разносится по хостам дабы не сваливать в одну кучу. Но и сюдаже шлют логи три шлюза, кто и куда пошёл в интернет. Вотдля этого и прикручиваю мискл.

Но и сюдаже шлют логи три шлюза, кто и куда пошёл в интернет.

Вот это вот не стоит валить в syslog, для этого есть другие способы, под это заточенные. И сразу всё будет нормально, как мне кажется.

Если не сложно, направьте в нужное русло для агрегации информации с трех шлюзов?

направьте в нужное русло для агрегации информации с трех шлюзов?

Чисто по Интернет-трафику само удачное решение сейчас, на мой взгляд, это ipt-netflow и какой-нибудь netflow-коллектор. Можно nfdump. И, если надо, к нему веб-морда есть nfsen.

+1

Логгировать средствами iptables и syslog не очень оптимальное решение.