> "могут быть" - это предположение.Элементарно - минимальная атака на сервак где они в крейсерском режиме нормальные и лог пухнет в десятки раз от номинала. И именно такой лог как ни странно может захотеться проанализировать.
> факт - это "бл*, вот это логи отожрали!"
> А с фактом уже можно работать - почему отожрали?
Мало ли, атака например. Свалилось в 1000 раз больше запросов чем обычно валится. Вполне обыкновенная ситуация.
> Так исправьте, чтобы не варнинговал.
Больно жирно. Есть например сервант. Не очень нагруженный. А тут вдруг бабах и атака. Логи могли бы помочь понять кто и что и кого надо в баню. Но если в них все и упирается - их придется отключить чтобы машина не дохла, для начала. В свете этого - если их можно записать в 5 раз компактнее, логично что умирать оно начнет при в 5 раз большей нагрузке. Значит отключать придется реже.
> И что у вас там генерирует 3000 записей в лог за секунду?
Да любая самая пионерская атака на обычный http сервант хотя-бы.
> Если это записи уровня debug - отключайте debug скорее!
Что за кретинские предположения? Зачем дебаг в продакшне?
> А если это полезные записи, то пора переводить все логи на специальный
> сервер логов.
Ну да, 3000 запросов в секунду могут прилететь на любой хттп сервак, даже хомпагу Васи Пупкина. Достаточно Васе поругаться с Петей и Петя на раз ему 3000 запросов в секунду пришлет. Что, каждому Васе отдельный сервер для логов ставить? Зашибись :)
> Пожалейте ваши жесткие диски!
Даешь каждому Васе под хомпагу по личному датацентру, с цысками и сисадминшами?! :)
> Вот как раз ротация поможет вам посмотреть лог за сутки, а не
> грепать недельный лог по "2012-03-03".
А что если я хочу посмотреть "а что вот этот айпишник делал с моим сервером за последнюю неделю"? Вариант нормальный: отсортировать по айпишнику ограничив интервал по дате. За счет индекса - должно педалиться за какие-то секунды. Вариант конский: адски грепать неделю логов. Если их много - займет чуть более чем дохрена времени.
>> и получается что сервер больше пыжится с записью лога чем со
>> всем остальным, так что приходится логгинг отключать - это как-то неправильно.
> Отключение логов при атаке?
Ну нормально! А ничего что по логам было бы удобно делать допустим автобан атакующих ботов? Хотя конечно может благородный дон и руками кучи ботов банить не обламывается, вдруг он там не ленивый :)
> А если атака в 4 утра?
Ну так вот мне нравится идея что вкалывают роботы а не человек. Идеальный вариант: анализатор логов разгребая логи видит аномалии ("вот этот товарищ делает 100 запросов в секунду!") и просто гасит такое сам. Без побудки админа в 4 утра. Но с текстовыми простынями это все реализовывать геморно и нетривиально получается и работает через те еще грабли.
> Если исходить, что атака очень может быть, лучше заранее к ней подготовиться.
Да, например можно запрячь админа круглосуточно дежурить. А можно анализатора логов. Только вот анализатору логов гигантские портянки в которые дописывают без уведомления, и формат которых оставляет желать много лучшего в плане удобства разбора и которые не заточены на какую либо сортировку и аналитику ибо не снабжены индексами - совершенно не удобны. Весь гемор сваливается на анализатор, который должен или сам реализовывать каждый раз нормальный индекс, или каждый раз читать огромные простыни, скорость данной операции думаю понятна :)
> Настройка логирования по сети - это не так сложно.
Да, проспонсируйте отдельный сервак логирования каждому Васе с хомпагой. И если уж пошла атака - засрать сеть дополнительно еще и траффиком логгинга это хорошо придумано. Правда откуда следует что оно будет надежно работать - вообще не понятно. А, собственно, если сеть захлебнется например - что будет? Логгинг будет перепослан опосля, когда ей полегчает? А программы узнают о том факте что залоггить было не судьба? И есть даже какая-то универсальная стандартная механика для _разных_ демонов все это узнать?!
> Я даже делал логирование по сети сообщений при kernel panic.
> Ну а подружить zend с syslog - вообще благое дело.
Хотелось бы чтобы логгинг работал в каком-то базовом минимальном варианте без всяких приседаний. В частности хотелось бы чтобы посмотреть "а что вот этот айпи делал с моими демонами за последнюю неделю" было бы штатной фичой системного логгера. А не донавертываться 20 слоями костылей где-то сбоку. До сабжей сие кажется дошло, алилуйя.
>> Ну вот в идеале хотелось бы чтобы сабжевый способ был достаточно компактен
>> и быстр чтобы это для него не было проблемой.
> Пока сабжевый способ только обсуждается.
Эээ? Там уже сырцы в гите есть, хоть это и journald по сути.
> Я рекомендую настроить сервер, чтобы он уже сейчас сделал логи вашими друзьями,
> а не врагами.
Вот я искренне надеюсь что сабж совместными усилиями допинают и он будет в разных системах стандартной facility для логгинговых операций. Куда я смогу пойти и получить ответ на вопрос "а что вон тот айпи за последнюю неделю со всеми моими демонами делал". Ну хотя-бы чтобы понять кто это такое и не надо ли такое в файрвол вообще заносить.
> Сетевое логирование + ротация со сжатием - и ваши проблемы решены уже сейчас.
А выяснение что вон тот айпишник делал с _разными_ демонами на продолжении _недели_ - как было определенным гемором так и осталось. И вообще, декомпрессовать и грепать неделю логов - не очень прикольная и быстрая операция, знаете ли.
> А не когда команда программистов вместе с поттерингом что-то напишет.
См. выше. Есть ряд вполне типовых и обыденных задач которые красиво и быстро на данный момент не решены. Грепинг недели логов с декомпрессовкой старых версий - это не ответ, это адовы костыли и подпорки.
>> Специально обученная обезьяна при машине.
> Смотря что считать костылями.
Получите мне информацию о том что делал некий айпишник за последнюю неделю с вашей машиной без костылей и грепинка недельных логов. В случае структурированных логов с индексами выцепить только нужный диапазон дат и пройтись по индексу айпишников - плевое дело, займет секунды. А вот грепинг всех логов за неделю от всех демонов может занять черт знает сколько времени, пардон.
> Если в программу добавили функционал работы с сетью, разве это костыль?
> Или вам нужно окошечко с галочкой "фича из коробки - включена по дефолту"?)
Мне как и этим господам нужна подсистема логинга покрывающая типовые наборы административных операций простыми и быстрыми средствами. Грепать все логи всех демонов за неделю, при том что они еще и в разном формате все - нифига не быстро и не удобно.
