Настройка rsyslog для сервера, принимающего журналы с большого количества удаленных узлов

Стандартные настройки rsyslog могут стать узким местом при попытке использования крупномасштабного централизованного сервера журналов для нескольких систем

Rsyslog

Отключите поиск DNS при получении сообщений

CentOS/RHEL

Debian/Ubuntu

добавив -x:

Установка директив в rsyslog.conf

Установите следующие директивы в файле /etc/rsyslog.conf

rsyslog необходимо перезапустить:

$MainMsgQueueSize 200000

Очередь основных сообщений принимает данные журнала, поступающие на входную цепочку, и отправляет их в очередь разбора и фильтрации. Эта очередь должна быть достаточно большой, чтобы в нее можно было поместить большое количество сообщений журнала.

$MainMsgQueueWorkerThreads 100

Рабочие потоки выполняют действия для различных очередей rsyslog, обычно нет необходимости запускать несколько рабочих потоков параллельно.

$RulesetCreateMainQueue on

Наборы правил могут быть использованы для повышения производительности, поскольку они создают свою собственную главную очередь сообщений для каждого набора правил. Это позволяет обрабатывать больше журналов одновременно и в итоге принимать больше журналов.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий