Il Thu, 20 Nov 2014 22:37:40 +0100, Davide Prina ha scritto: > ma queste sono ricerche approssimative, che non ti permettono di trovare > sempre ed esattamente e solo quello che cerchi... questo se sai cosa > cercare. Se non lo sai le cose si complicano parecchio (es: vuoi vedere > se c'è l'indizio di qualche possibile problema futuro) > > Se usi i tuoi occhi, è facile farsi sfuggire qualche informazione > "interessante", quando le righe da guardare sono davvero tante. >
Scusate, non riesco a seguire tutto il thread, che sta diventando parecchio lungo. Ma mi pare che si dimentichi qualcosa. I log, per la maggior parte del tempo, vengono solo scritti. Nel momento in cui ho un DDoS, o anche solo un periodo molto buono per la mia webapp, mi può capitare che il server scriva qualche migliaio di righe al secondo, anche per diversi minuti o ore di fila. Con un log indicizzato, il processo di log mi porta via più risorse (perché è in scrittura) di quante ne porti via l'app in sé, ammazzandomi il server. Se invece si limita a scrivere righe alla fine di un file di testo, il carico è praticamente nullo (soprattutto se uso un disco dedicato). L'analisi dei log può essere fatta in differita (per farmi un report giornaliero) tramite script. E la volta che devo cercare qualcosa di anomalo a una certa ora, averlo binario o testuale, cambia poco. Ma se è binario e devo cercare qualcosa che non è previsto da chi ha progettato la struttura dei log, la decodifica da binario per poi passarlo a grep o chi per esso è solo un peso in più. Tra l'altro, un sistema tipo database potrebbe essere più efficiente, in lettura, solo se gli eventi venissero codificati in qualche modo (tipo: postfix codice 15, SMTP connection received codice 1, campo testuale per il mittente e il destinatario). Ma allora ci mettiamo a codificare le centinaia di errori di ogni programma? Poi finiamo con "l'applicazione 0x123456abc ha provocato un errore 0x63bd467a" :P Insomma, non vedo tutti questi vantaggi nel log binari. Bye. -- Per REVOCARE l'iscrizione alla lista, inviare un email a [email protected] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [email protected] To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
