私が働いている場所では、メイン データ センターと、Oracle PaaS の一部を担当するサード パーティ データ センターの間にサイト間 VPN トンネルが設定されています。料金は VM ごとに請求されるため、セキュリティおよび監査部門の分析を実行しているローカル VM で Oracle 監査ログを監視しています。サード パーティ (または、その中の部門) は、syslog が原因でトンネルを通過するネットワーク トラフィックの量が多いことに不満を抱いています。
現在、udp/514で暗号化されていない状態で実行されているため、圧縮する必要があると思います。調査したところ、rsyslog(サードパーティが使用しているもの)とsyslog-ng(私たちが使用しているもの)の両方がサポートしているようです。TLS 圧縮CPU サイクルには余裕があり、サードパーティのネットワーク チームは、どうやら SLA に影響が出るため不満を言っているだけです。
私の質問は次のとおりです:
rsyslog複数のメッセージを一度に(たとえば 5 分間にわたって)まとめて、syslog-ng一度にサーバーに送信する方法はありますか?
私がこれに興味を持っている理由は、TCP に切り替えるとオーバーヘッドが増えるからです。ほとんどの圧縮方法では冗長データの置換が行われると理解しており、syslog メッセージのストリームの場合もそうだと思います。目的は、送信前にバッチ処理して冗長部分を削除することです。
答え1
のように聞こえるrsyslog キューイング希望どおりに機能するかもしれません。メッセージはオフピーク時に送信するために保存することもできます。
具体的には、次のとおりです。
「$QueueDequeueSlowdown」ディレクティブを使用すると、デキューを遅延させる時間(マイクロ秒単位)を指定できます。