syslog очередь с ограничением

0

4

Подскажите, что посмотреть для решения следующей сферической задачи. Есть какой-то syslog сервер, на который сыпятся логи. Есть условная SIEM с ограничением в 300 eps. Как с syslog сервера отдавать инфу в SIEM с ограничением например в 250 eps и ничего не потерять?

Перемещено leave из talks

←	Проблема с подключением к LAN на OpenWRT с ZeroTier

современные hdd без рwl

→

За сутки у тебя в очереди на отправку скопится 4 миллиона сообщений.

Я вижу только один выход: писать в базу, и оттуда забирать в сием по мере необходимости.

leave ★★★★★
(11.09.23 12:01:40 MSK)

Ответ на: комментарий от leave 11.09.23 12:01:40 MSK

А как забирать в сием с 250 eps, если в ней нет таких настроек?

promka
(11.09.23 13:05:19 MSK) автор топика

Ограничения siem - это вопрос лицензии или производительности?

Если лицензии (слетит при превышении), спроси вендора, как пользоваться таким бесполезным siem

Если производительности, пиши логи в kafka, а отдельный процесс будет их оттуда забирать и слать в siem с той скоростью, с которой тот сможет их принять. Если твой siem не умеет подтверждать приём (например, принимает чисто по syslog, а лишнее теряет), то процесс для передачи логов с лимитом скорости скорее всего придётся писать тебе

Но вопрос о том, куда ты денешь накапливающиеся логи, очень хороший. Тебе придётся думать, что можно отбросить

router ★★★★★
(11.09.23 16:14:11 MSK)

←	Проблема с подключением к LAN на OpenWRT с ZeroTier

Admin

современные hdd без рwl

→

Похожие темы