FAREDON: Jeden takový požadavek, navíc podmíněný tím, že z logujícího serveru nesmí jít měnit logy, jsem vyřešil standardním logováním po síti, jaký umí syslog už od dinosaurů, resp. loguju tutéž zprávu lokálně i přes síť. Používám konkrétně
rsyslog, který má trochu víc spolehlivý protokol
RELP. Skoro všechny aplikace se dají přemluvit, aby logovaly přes syslog, měl jsem nějaké problémy akorát s modsecurity a ještě něčím a třeba u access logu Apache to ani nedoporučují kvůli brutálnímu loadu, ale to se nedá nic dělat. Výjimkou je taky audit log, tam je potřeba buď
audisp-remote
nebo číst rsyslogem tail souboru a obsah posílat dál. Na centrálním serveru už si to rozhazuju podle toho odkud to přišlo a ukládám kam je potřeba. Zrovna rsyslog umí i ukládání přímo do databáze, ale to považuji za vhodnější řešit právě až na tom centrálním serveru, protože
RELP je připraven na výpadky, že zprávy přenese později apod. Na Windows k tomu mám
Snare EventLog Agent (musí se jen nastavit jméno serveru a povolit syslog header), je tam ale tak trochu
oser s řídícími znaky. Že by to bylo nějak extra jednoduchý celý nastavit, to říct nemůžu...