An meinem Arbeitsplatz haben wir einen Site-to-Site-VPN-Tunnel zwischen unserem Hauptrechenzentrum und einem Rechenzentrum eines Drittanbieters eingerichtet, das einige Oracle PaaS für uns bereitstellt. Da dort pro VM abgerechnet wird, überwachen wir die Oracle-Audit-Protokolle auf einer lokalen VM, auf der die Analysen für die Sicherheits- und Auditabteilung ausgeführt werden. Der Drittanbieter (oder vielmehr eine Abteilung innerhalb des Drittanbieters) beschwert sich über die Menge des Netzwerkverkehrs, der aufgrund des Syslogs über den Tunnel läuft.
Es läuft derzeit unverschlüsselt über UDP/514, daher denke ich, dass ich etwas Komprimierung vornehmen muss. Nach einigen Recherchen sieht es so aus, als ob sowohl rsyslog(was der Drittanbieter verwendet) als auch syslog-ng(was wir verwenden) unterstützenTLS-Komprimierung. Wir haben genügend CPU-Zyklen übrig, das Netzwerkteam des Drittanbieters beschwert sich nur, weil es offenbar Auswirkungen auf ihre SLAs hat.
Meine Frage ist folgende:
Gibt es eine Möglichkeit, rsyslogmehrere Nachrichten gleichzeitig (beispielsweise über einen Zeitraum von fünf Minuten) zusammenzufassen und sie syslog-ngalle gleichzeitig an unseren Server zu senden?
Der Grund, warum ich daran interessiert bin, ist, dass wir auf TCP umsteigen würden, was mehr Overhead verursachen würde. Meines Wissens führen die meisten Komprimierungsmethoden Ersetzungen redundanter Daten durch, was meiner Meinung nach bei einem Datenstrom von Syslog-Nachrichten der Fall wäre. Das Ziel besteht darin, die redundanten Teile vor der Übertragung zu bündeln und dann zu entfernen.
Antwort1
Hört sich an wiersyslog-Warteschlangekönnte tun, was Sie wollen. Nachrichten können auch für die Übertragung außerhalb der Spitzenzeiten gespeichert werden.
Im Einzelnen Folgendes:
Mit der Direktive „$QueueDequeueSlowdown“ können Sie angeben, wie lange (in Mikrosekunden) die Entfernung aus der Warteschlange verzögert werden soll.