<p dir="ltr"><br>
I use a proprietary ELK-like system based on ausearch's -i option. I would like to see some variant outputs from ausearch that "packages" events into parse-friendly formats (json, xml) that also incorporates the local transformations Steve proposes. I believe this would be the most generic solution to support centralised log management.</p>
<p dir="ltr">I am travelling now, but can write up a specification for review next week.</p>
<p dir="ltr">Burn Alting</p>
<p dir="ltr">On 15 Dec 2015 4:13 am, <<a href="mailto:Kevin.Dienst@usbank.com">Kevin.Dienst@usbank.com</a>> wrote:<br>
><br>
> ELK <br>
> Splunk <br>
><br>
> We use a proprietary vendor product that migrates data into an HDFS store via RabbitMQ based collectors and dumps them in raw form. From there I have access to all the usual "big data" tools albeit I'm not using Flume just yet, we're still trying to get a handle on operationalizing all the various big data component so that data science developers can focus on development instead of operations and support of the hardware/software ecosystem. <br>
><br>
> Kevin D Dienst<br>
><br>
><br>
><br>
><br>
> From:        Joe Wulf <<a href="mailto:joe_wulf@yahoo.com">joe_wulf@yahoo.com</a>> <br>
> To:        "<a href="mailto:linux-audit@redhat.com">linux-audit@redhat.com</a>" <<a href="mailto:linux-audit@redhat.com">linux-audit@redhat.com</a>> <br>
> Date:        12/14/2015 10:51 AM <br>
> Subject:        Re: New draft standards <br>
> Sent by:        <a href="mailto:linux-audit-bounces@redhat.com">linux-audit-bounces@redhat.com</a> <br>
> ________________________________<br>
><br>
><br>
><br>
> Steve, <br>
><br>
> The last place I was at heavily used Splunk and then transitioned to dual-routing a substantial portion of the logs from across the infrastructure to ELK, as well. <br>
><br>
> -Joe <br>
><br>
> ________________________________<br>
> From: Steve Grubb <<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>><br>
> To: F Rafi <<a href="mailto:farhanible@gmail.com">farhanible@gmail.com</a>>; "<a href="mailto:linux-audit@redhat.com">linux-audit@redhat.com</a>" <<a href="mailto:linux-audit@redhat.com">linux-audit@redhat.com</a>> <br>
> Sent: Monday, December 14, 2015 10:34 AM<br>
> Subject: Re: New draft standards <br>
><br>
> But I guess this gives me an opportunity to ask the community what tools they <br>
> are using for audit log collection and viewing? Its been a couple years since <br>
> e had this discussion on the mail list and I think some things have changed.<br>
><br>
> Do people use ELK?<br>
> Apache Flume?<br>
> Something else?<br>
><br>
> It might be possible to write a plugin to translate the audit logs into the <br>
> native format of these tools.<br>
><br>
><br>
><br>
> -Steve<br>
><br>
><br>
> --<br>
> Linux-audit mailing list<br>
> <a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/linux-audit">https://www.redhat.com/mailman/listinfo/linux-audit</a> <br>
><br>
><br>
> --<br>
> Linux-audit mailing list<br>
> <a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/linux-audit">https://www.redhat.com/mailman/listinfo/linux-audit</a><br>
</p>