Objectivo
O objectivo era criar um repositório centralizado para os logs de todos os equipamentos existentes dentro do Datacenter.
A resposta óbvia para quem vem do Linux é syslog-ng + MySQL, mas é preciso ver que nem só de Linux é o mundo feito, neste caso, nem tudo o que está no Datacenter corre Linux 
A solução final tem vários componentes, que explico já a seguir. A forma como se interligam é fácil de ver na figura seguinte.
Syslogd
O syslogd vem de base com tudo o que é distro Linux e também se encontra para Unix. A consola do VMware ESX, sendo baseada em RHEL 3, também usa obviamente syslog.
Basta acrescentar ao /etc/syslog.conf (ou substitui-lo por inteiro) a seguinte linha para se conseguir enviar todas as mensagens para um servidor syslog central:
*.* @endereço-ip
Winlogd
O winlogd é um executável que se adiciona aos serviços do Windows e que envia, com as prioridades adequadas, todos os eventos que apareçam no Event Viewer para um syslog server remoto. A parametrização do endereço IP é feita no sítio do costume:
HKLM\System\CurrentControlSet\Services\Winlogd
Snmptrapd + snmptt
É vulgar encontrar UPS’s, unidades de A/C, geradores e demais equipamentos periféricos que enviam alertas através de TRAPs SNMP. As mensagens reportadas por um TRAP não são muito informativas se não forem traduzidas a partir de uma MIB. Uma boa forma de o fazer automaticamente e ainda guardar as mensagens num syslog é usar o SNMPTT.
Logs Domino
Os servidores Lotus Domino guardam os seus logs numa base de dados… adivinhem… Domino! Felizmente, se estiverem a correr em Linux, também enviam os logs para a consola. Se se acrescentar o seguinte pipe à invocação do servidor, consegue-se ter a consola disponível numa tty e, simultaneamente, enviar todos os logs para o syslog local:
$domino_server | tee /dev/tty8 | logger -p local3.info
É pena perder-se o conceito de priority, mas como o Domino não o suporta internamente, não há nada a fazer…
Rsyslogd
Em vez de syslog-ng como concentrador de logs, resolvi usar o rsyslogd. Na altura foi uma escolha do momento, mas veio a revelar-se oportuna, essencialmente porque o Phplogcon é melhorzinho que o php-syslog-ng.
O ficheiro de configuração é compatível com o do syslog, o que torna a migração muito fácil e rápida. Tal como o syslog-ng, a configuração é feita através de templates, e há vários exemplos no site que tornam o setup inicial coisa de segundos…
Com uma linha (grandita, é verdade…) define-se o template para inserir registos na base de dados:
$template dbFormat,"insert into SystemEvents (Message, Facility,FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%HOSTNAME%',%syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",sql
E com outra linha, diz-se que se quer tudo lá dentro 
*.* >localhost,rsyslog,rsyslog,rsyslog;dbFormat
Phplogcon
Finalmente, o Phplogcon é uma aplicação web para explorar os dados que o rsyslog guarda na base de dados. Não é o supra-sumo das ferramentas de exploração de dados, mas é bem rápida e suficientemente flexível para aquilo que normalmente se pretende destas ferramentas.
Para análises mais elaboradas, há uma ferramenta proprietária feita pela Adiscon (a empresa que faz o rsyslog e o phplogcon, já agora). Não cheguei a experimentá-la, mas parece valer a pena…
MySQL
Não há muito a dizer aqui. Usei um servidor MySQL completamente vanilla, com tabelas MyISAM, que para o caso servem perfeitamente.
Publicado por Manuel Padilha 
