_ でけた

とりあえずホスト分離。

ESXiのリソース制限もうまく動いてる。

結局splunkはfreeだとforwarder設定できても管理できないのか。

分散サーチじゃindexingの負荷減らないし。。。

仕方ない、syslogで飛ばしてモツモツやるか。

_ 転送or同期

ログを飛ばすのどうするか悩む。 syslog-ngで飛ばすにしても、apacheで自力で吐いてるのめんどい。 結局のところrsyncでやっつけた。 転送元にdaemonモードで起動して /usr/local/bin/rsync -avz rsync://[ホスト]/[定義したボリューム] [コピー先のローカルフォルダ] をcronに。 毎分起動でも、増分は大して無いので問題なし。 splunkの負荷から比べたら無いに等しいｗ 転送元のrsyncd.confはこんな感じ。

uid         = root
gid         = wheel
log file    = /var/log/_rsync/rsyncd.log
pid file    = /var/run/rsyncd.pid
[apache]
        comment = apache
        path = /home/www/logs
        read only = yes
[syslog]
        comment = syslogs
        path = /var/log
        read only = yes

rsyncd.confの場所は、思ってるのと違ったりするので要注意。

_ zfs

splunkerはzfsにしてみた。

まぁ、スナップショットとかロールバックの必要もないんだけど勉強用。

まず、dumpでテープに取れないところで挫けたｗ