[devel] systemd (journald + FSS)

[Dmitriy Kruglikov]

30 августа 2012 г., 10:26 пользователь Денис Смирнов  написал:

> 1. То что лог бинарный -- это у systemd-journal с рождения. В этом смысле
> ничего не меняется.
Вот это мне и не нравится, и я уже причины перечислил.

>
> 2. Речь идет про обнаружение самого факта взлома. Модификация логов один
> из способов скрыть факт взлома.
Это как бы обнаружить факт взлома квартиры по факту наличия факта
сожранности мороженного в холодильнике...

> У тебя на всех твоих серверах настроен syslog на выделенный сервер для
> сбора логов?
Там, где это действительно нужно - да.
А там, где нужно за каждый такт процессора и за каждую ячейку памяти
бороться, то очень хочется
иметь возможность управлять процессом...
И я решаю, где нужно, а где нет. Потому как я админ и у меня есть мозг.

Иначе мы получим систему, которая будет вести супер-мега-гига-супер журналы,
но кроме этого больше ни чего не будет делать...

Кто у нас  в качестве "бутылочного горлышка" выступает чаще всего?
Правильно, диски...
А тут такая засада...
И тебе вычисление хешей, и компрессия, и какой-то ИИ для вычисления
периода ротации логов...
Это всё в памяти? Так я эту память для приложения покупал... В swap пойдем?

Хрен с ним, что эти логи нельзя быстро грепнуть и найти в них нужные строки...
Или присадить fail2ban следить за логами и защищать систему от вторжений.

Та и нахрена в те логи смотреть? За то бантик мы захренячим розовый, в
крапинку...


Ой, не трави душу...

-- 
Best regards,
 Dmitriy Kruglikov.