Переведи вопрос: "Что использовать вместо rsyslog и logrotate при масштабировании на 400 хостов? Какой стек можно рекомендовать для эффективного управления логами на таком уровне?"

Я прохожу курс “от 0 до Linux админа” на платформе Yodo, и у меня появилась проблема. Мы значительно расширили нашу инфраструктуру за последний год и теперь управляем более чем 400 серверами на Linux. Это включается в собой несколько дата-центров и облачные инстансы. Управление журналами стало настоящей головной болью, и мне интересно, как другие команды справляются с этим на аналогичном уровне.

Сейчас мы используем rsyslog и logrotate на отдельных хостах и отправляем их на центральный сервер syslog, но все становится запутанным. Иногда происходит сбой вращения журналов на новых хостах, которые создаются без полноценно примененных конфигураций, и центральный сервер испытывает ударную нагрузку в пиковые часы, когда все решают сбросить журналы одновременно.

Я подумываю о переходе на полноценную систему, возможно, Loki с Promtail, так как уже используем Prometheus и Grafana для метрик, но также слышал хорошие отзывы об Elasticsearch с Filebeat. Кажется, что операционные издержки у каждого подхода сильно различаются.

У меня есть несколько специфических вопросов:

1. Как вы гарантируете, что единые конфигурации журналов автоматически применяются на новых хостах? Используете Ansible, Salt или что-то другое для этого?
2. Как вы справляетесь с политиками хранения для разных ролей серверов?
3. Для тех, кто работает с Loki, действительно ли он хорошо справляется с масштабами, или есть какие-то болевые точки, о которых стоит знать до того, как принимать решение в его пользу?

Буду очень признателен за опыт из реальной жизни, а не только за информацию из документации производителей.

Проблема, короче, в том, что я попробовал использовать rsyslog и logrotate для своих 400 хостов, но все как-то не заладилось. Все эти настройки, блин, очень запутанные. Я сначала думал, что смогу просто настроить rsyslog на всех хостах, и будет всем счастье. Но, как оказалось, с масштабированием это не так-то просто.

Сначала я пытался настроить rsyslog на центральный сервер, чтобы к нему все логи собирались. Начал крутить конфиги, но у меня сразу возникли проблемы с производительностью — сервер чуть ли не споткнулся под нагрузкой. Не успевал обрабатывать все данные, и логи тупо терялись, прикинь?

Потом я попробовал logrotate. С ним тоже беда. Настраивать ротацию логов на всех хостах — это как пытаться собрать пазл на месте, где ветер дует. Я выставил один и тот же конфиг, но на некоторых серверах почему-то ротация не срабатывала. Искал, что не так, а оказалось, что версии разных дистрибутивов разные, и где-то что-то просто не работало.

В общем, стало понятно, что стандартные инструменты просто не вытягивают такие объемы. Тут решил поискать что-то более продвинутое и нашел пару курсов на Yodo, которые реально помогли разобраться в теме управления логами и альтернативам. Особенно мне зашла идея об использовании ELK-стека (Elasticsearch, Logstash, Kibana) для сбора и анализа логов. Там всё вроде как более масштабируемо и удобно.

Если интересно, можешь глянуть эти курсы, вот ссылка: Yodo Courses.

Надеюсь, что смогу в скором времени наладить нормальную систему логирования!