集中型ロギングにはrsyslogを使用します。これは、すべてのサーバーからsyslogメッセージを収集する専用のログサーバーがあることを意味します。
すべてのログチェックは、これらのログサーバーで行われます。つまり、システム管理者は/var/log/*SSHシステム自体を介してローカルファイルを表示できません。
ディスク使用量を(少し)減らすために、ローカルシステムログを無効にすることをお勧めします。
どうすればいいですか?ただ行を削除するだけで
$IncludeConfig /etc/rsyslog.d/*.conf十分ですか/etc/rsyslog.conf?さらに重要なのは、これを行うには欠点やリスクがありますか?一元化されたロギングを使用すると、一部のログメッセージが失われる可能性があるという記事を読んだことを思い出してください。 (この場合、メッセージが失われるかどうかを確認するために、ローカルと中央のログを数週間比較して確認します。)他のリスクはありますか?
注:重要な場合、ディストリビューションはUbuntu 14.04ですが、他のディストリビューションへの回答にも興味があります。
ベストアンサー1
無効にする場合は、転送方法をTCPに設定する必要があります。 UDPはデフォルトであり、エラー制御機能はありません。ローカルロギングの削除に関するご意見は正しいです。この conf ファイルは rsyslog にロギングのソースとターゲットが何であるかを知らせるため、ターゲットを削除するとその場所に移動しなくなります。