Donde trabajo, tenemos un túnel VPN de sitio a sitio configurado entre nuestro centro de datos principal y un centro de datos de terceros que hace algo de Oracle PaaS por nosotros. Dado que cobran por máquina virtual, estamos monitoreando los registros de auditoría de Oracle en una máquina virtual local que ejecuta los análisis para el departamento de seguridad y auditorías. El tercero (o más bien un departamento dentro de él) se queja de la cantidad de tráfico de red que pasa por el túnel debido al syslog.
Actualmente se ejecuta sin cifrar en udp/514, así que creo que necesito hacer algo de compresión. Después de investigar un poco, parece que tanto rsyslog(lo que usa el tercero) como syslog-ng(lo que usamos nosotros) son compatiblesCompresión TLS. Tenemos ciclos de CPU de sobra, el equipo de redes de terceros solo se queja porque aparentemente afecta sus SLA.
Mi pregunta es esta:
¿Hay alguna forma de rsyslogagrupar varios mensajes a la vez (por ejemplo, en un período de cinco minutos) y enviarlos a nuestro syslog-ngservidor todos a la vez?
La razón por la que estoy interesado en hacer esto es porque al cambiar a TCP habrá más gastos generales. Tengo entendido que la mayoría de los métodos de compresión sustituirán datos redundantes, lo que me imagino que sería el caso con un flujo de mensajes syslog. El objetivo es agrupar y luego retirar las piezas redundantes antes de la transmisión.
Respuesta1
Suena comocola rsyslogpodrías hacer lo que quieras. Los mensajes también se pueden almacenar para su transmisión durante las horas de menor actividad.
En concreto, lo siguiente:
La directiva "$QueueDequeueSlowdown" permite especificar cuánto tiempo (en microsegundos) se debe retrasar la eliminación de la cola.