Bonjour.
Je suis pas vraiment sur de la rubrique...
 
Je cherche un moyen de sauvegarder les logs d'une machine en temps réel.
 
voici la manœuvre que je cherche à faire.
 
J'ai une machine (ou plutot un groupe de machine mais on va simplifier) A avec serveur oracle, apache, tomcat etc
Ces machines produisent des logs
 
J'ai une machine B qui abrite un serveur d'analyse de logs et qui sert à conserver les logs de la machine A sur plusieurs années.
Actuellement une sauvegarde des logs est faites chaque jour (on a un fichier de log par jour).
 
Ca ne convient plus.
Effectivement admettons qu'un pirate s’introduise sur la machine A et qu'il efface les logs, ben c'est pas bon...
 
Du coup je cherche un moyen à ce que la machine B puisse faire une sauvegarde en temps réel des logs de la machine A.
Pas vraiment du mirroring car si un élément est effacé de la machine A il faut qu'il reste sur la B.
Petit détail. La machine A ne voit pas la B, mais la B a accès aux logs de la A
 
Mes collègues ont d'abord pensé à un script basé sur du tail mais honnêtement je trouve que c'est du bricolage et j'ai peur des performances...
j'en ensuite pensé à un truc genre lsyncd ( https://axkibe.github.io/lsyncd/ ) mais je sais pas si c'est adapté...
Y'a aussi DRBD mais la encore c'est du mirroring j'ai l'impression... si le fichier de log est bricolé sur le A la modif risque de se répercuter sur le B
 
En fait il me faudrait un truc du genre d'ossec ( http://ossec.github.io/index.html ) mais qui a la place de faire de l'analyse et du monitoring fait uniquement de la sauvegarde (et je crois pas qu'ossec le fasse).
 
si vous avez une piste ça m’intéresse

Tu as SexiLogs en qui devrait te convenir je pense pour ça.  
 
EDIT : J'ai un doute sur SexiLogs, sur le fait qu'il ne fasse que de l'ESX. Mais tu as SysLog aussi.

et logstash tout simplement ? est ce que ca va me permettre de sauvegarder en temps réel et de conserver l'intégrité des logs ?

edit : en fait le soucis que j'ai avec syslog (si j'ai bien compris) c'est qu'on "pousse" les logs de la machine A vers B. En fait la machine A écrit sur le B, donc A doit voir B. Je préférerais "tirer" les logs, c'est à dire que B reproduit les logs de A, ce qui permet que A ne voit pas B.

(au fait je suis pas du tout admin unix )

Ou pour le coup logstach le plus connnu

ça veut surtout pas dire grand chose "A voit B"

Oui car A peut voir B, mais tu lui donne juste le port qu'il a besoin pour envoyer les logs, rien de bien méchant.

Tu as testé Splunk ? Si ça n'a pas changé, tu as une licence gratuite jusqu'à 500Mo de logs par jour, ça devrait te suffire. C'est un concentrateur

Tu as Graylog qui est gratuit (avec le client NXlog pour les postes sous Windows si besoin).