Onde trabalho, temos um túnel VPN site a site configurado entre nosso data center principal e um data center de terceiros que faz alguns Oracle PaaS para nós. Como eles cobram por VM, estamos monitorando os logs de auditoria da Oracle em uma VM local que executa análises para o departamento de Segurança e Auditorias. O terceiro (ou melhor, um departamento dentro dele) está reclamando da quantidade de tráfego de rede que passa pelo túnel devido ao syslog.
No momento, ele está sendo executado sem criptografia em udp/514, então acho que preciso fazer alguma compactação. Depois de alguma pesquisa, parece que ambos rsyslog(o que o terceiro está usando) esyslog-ng (o que estamos usando) oferecem suporteCompressão TLS. Temos ciclos de CPU de sobra, a equipe de rede de terceiros está apenas reclamando porque aparentemente isso afeta seus SLAs.
Minha pergunta é esta:
Existe alguma maneira de rsyslogreunir várias mensagens de uma vez (digamos, em uma janela de cinco minutos) e enviá-las ao nosso syslog-ngservidor de uma só vez?
A razão pela qual estou interessado em fazer isso é porque estaríamos mudando para TCP e haveria mais sobrecarga. Entendo que a maioria dos métodos de compactação substituirá dados redundantes, o que imagino que seria o caso de um fluxo de mensagens syslog. O objetivo é agrupar em lote e remover as peças redundantes antes da transmissão.
Responder1
Soa comoenfileiramento rsyslogpode fazer o que quiser. As mensagens também podem ser armazenadas para transmissão fora dos horários de pico.
Especificamente, o seguinte:
A diretiva "$QueueDequeueSlowdown" permite especificar quanto tempo (em microssegundos) o desenfileiramento deve ser atrasado.