Logguer est important. Logguer de manière centrale est une bonne idée ! Nous avons déjà évoqué cela ici. Donc vous devez avoir, si vous suivez nos conceils, mis en place une architecture de logs centralisée à base de client et serveurs syslog. Du fait de l’historique (ancien) de syslog, les messages sont par défaut envoyé via le protocole UDP. Cela permet d’être un peu plus rapide, mais souffre d’un gros défaut que vous n’avez peut être pas remarqué : La taille maximale d’un message en UDP est limitée ! Sur des access logs on peut se retrouver avec des lignes tronquées en 2 messages. Ce qui n’est pas super si vous faites de l’analyse de logs par la suite. La solution : Si vous utilisez rsyslog passez en TCP coté client. Cela se fait comme ceci :
user.* @@monserveur
Un simple double ‘@@’ permet de passer en TCP. Ensuite positionnez la variable $MaxMessageSize au début de votre fichier /etc/rsyslog.conf, redémarrer rsyslog et vous allez voir la limite de vos messages augmentée !