Use case 2:長期日誌儲存
根據收集的日誌類型,組織為遵循法規合規需要將檔案儲存。許多資料保留政策和法規規定日誌訊息以其原始格式儲存數月甚至數年。如果組織不需要分析這些日誌訊息而只是必須安全地儲存,syslog-ng PE 提供了一種高經濟效益且方便的解決方案。 使用者可以指定歸檔目的地的類型:純文字檔案、二進位日誌儲存或 SQL 資料庫。可以根據特定條件將輸出訊息寫入特定檔案 (或檔案集)。使用 syslog-ng PE 日誌庫有助於日誌的機密性和長期儲存。透過壓縮來節省空間,同時使用時間戳記和加密來確保儲存的日誌被篡改。 預設情況下,syslog-ng™ 解析所有傳入的訊息、建立名稱-值對 (name-value pairs) 並在模板的幫助下重整並儲存。對於不符合標準的訊息,儲存的內容可能與原始的略有不同。藉由輸入上的 store-raw-message 標註,syslog-ng PE 將從客戶端收到的原始訊息保存在名為 $ {RAWMSG} 的名稱-值對中。如果需要未經修改的原始訊息,您可以將此巨集長期儲存或轉發到 Splunk。 範例:將日誌儲存在壓縮檔中 此範例展示如何在日誌儲存檔中儲存日誌以供長期保留。 圖 3:將日誌儲存在壓縮檔中 |