目前我有一个相当大的 syslog-ng 集群设置,它是我的主要日志聚合点。我需要能够确认某些日志并将它们标记为审核以进行审核。例如所有失败的 sudo 尝试。我可以轻松地将我感兴趣的日志发送到特定文件夹、程序或电子邮件,但想知道你们都使用什么来进行审计。目前,我将它们发送到 MySQL 数据库并将其放在显示日志的位置,如果我愿意,我可以单击确认并添加评论。虽然这种方法有效,但我想要一些更专业的东西。我曾考虑将它们绑定到开源票务系统中,并在审查后将其关闭,但希望得到其他人的意见。
谢谢,
埃里克
一种选择是通过 logstash 提供您的日志。使用匹配规则来匹配所需的消息,然后使用 logstash 电子邮件输出为每条消息创建票证。