专访syslog-ng 2.0开发人员Balazs Sche

zhaoke

专访syslog-ng 2.0开发人员Balazs Scheidler

赵珂, cn.zhaoke.com
http://blog.zhaoke.com/39.html


syslog-ng是一种系统日志记录工具, 可用于替代标准的Unix系统日志记录程序syslogd. 它可以通过TCP网络协议把日志信息可靠地传输到远程机器上, 支持大多的系统平台和结构, 具有高水平的消息过滤能力, 而且已经加入到几个大的Linux系统发行版中. 下面我们讨论2.0版(上个月发行)的开发人员, Balázs Scheidler.


NewsForge: 你是如何启动这个项目的?

Balázs Scheidler: 追述到1998年, 匈牙利主要的电信公司在本地的一个Linux邮件列表上寻找能移植nsyslog到linux上的工程师. nsyslog — 由Darren Reed开发 — 那时候不完整, 有些漏洞, 而且只能运行在BSD上. 当时我在读大学, 同时为一家ISP开发软件, syslogd在工作中总是带来不少麻烦: 创建太多的文件, 寻找和移动重要信息十分困难, 等等. 所以开发一个更好的syslogd程序由此而来.

NF: 为什么叫syslog-ng?
BS: syslog-ng 1.0的大部分代码基于nsyslog, nsyslog没有真正的版权. 我想在GPL协议下发行syslog-ng, 于是征求了Darren(nsyslog的作者)的意见, Darren同意这么做, 不过要求我更改软件的名称.

NF: 用户可以获得哪些支持?
BS: 我们有一个社区常见问题和邮件列表. 如果你有编译和配置方面的问题, 邮件列表是一个很好的地方. 另外我开了一家公司, BalaBit IT Security, 向需要快速支持的客户提供商业支持.

NF: 有文档吗?
BS: 我们时常更新参考向导(reference guide), 我知道互连网上有不少的howtos文档, 有机会我会进一步的改进.

NF: 谁使用syslog-ng?
BS: 每个人都会额外关注自己的日志信息. 我知道一些人在单个工作站上使用syslog-ng, 一些公司通过syslog-ng来集中管理成千上万设备的日志信息. 而且我们向世界500强的公司提供商业支持.

NF: 2.0版本有哪些新的功能?
BSD: 1.6版本没有什么大的问题, 仅仅做了一些小的修改. 2.0是一个全新的版本, 为了将来更好的开发, 我们做了很多细致的工作. 比如, 我们对数据结构进行了优化, 从而大大减少了CPU的使用率. 我从一个大的日志维护中心收到反馈: 在同样的负载下, 新版本对CPU的使用率减少了50%.

每一个日志信息都包括一个时间戳. 如果需要的话, syslog-ng能够转换不同时间戳.

2.0能够读入和转发日志文件. 如果一个程序的日志被记录到一个文件, syslog-ng能从文件读出数据并能传送到一台远程的日志(中心)服务器上.

2.0支持IPv6网络协议, 支持从多路广播IP地址收发消息.

2.0支持在日志中包含主机名, 而无需域名解析服务器. 在大流量情况下如果使用DNS就需要用到网络连接, 这样会严重影响消息处理速度. 现在你能够创建一个类似/etc/hosts的文件, sysylog-ng可以用它来解析常用的ip地址的主机名. 这样日志变得更容易传输.

syslog-ng 2.0使用主动流控制来防止消息丢失. 如果syslog-ng输出端接受数据变慢, syslog-ng将会在输入端读入消息之间等待更多的时间. 这样接受者不会涌塞大量没有及时处理的消息, 而且不会丢失任何数据.

NF: syslog-ng只能运行在Linux上吗? 支持其它的平台吗?
BS: 它能够在任何类型的Unix系统上编译 — 比如BSD, Solaris, HP-UX, AIX, 其它等. 许多大的Linux发行版包含了syslog-ng软件包: Debian, SUSE, Gentoo…. Gentoo缺省安装使用syslog-ng完全替代了syslogd.

NF: 你有其它的项目经验吗?
BS: syslog-ng是我的业余爱好; 这就是为什么我差不多用了5年的时间才完成2.0版本的开发. 我主要工作是自己公司的Zorp项目, 一个应用层的代理防火墙. 近来我在完成一项功能: 能够透明代理和审计SSH协议.

在Zorp开发当中, 我修补了很多漏洞, 其中我向一些项目组织提交了补丁, 比如glib和tproxy内核模块.

NF: 这些项目也是开源的吗?
BS: 不是, 它们是商业软件, 但是Zorp防火墙有GPL的版本.

NF: syslog-ng有什么新的计划吗?
BS: 我计划支持由IETF开发的syslog协议.

我想增加基于磁盘的缓冲功能, 如果网络连接断开, 你可以继续配置syslog-ng, 然后当网络再次连通的时候日志能够从缓冲的文件中读出并传送到日志中心服务器上.

我也希望增加TLS来安全传输日志消息, 在协议层上具有应用级的回响功能.

原文:
Interview: syslog-ng 2.0 developer Balázs Scheidler

备注:
转载请保持文章完整性, 欢迎交流.