如何禁用本地系統日誌，這是個好主意嗎？

我使用帶有 rsyslog 的集中式日誌記錄，這意味著有專用的日誌記錄伺服器從所有伺服器收集 syslog 消息。

所有日誌檢查都是從這些日誌伺服器完成的，這意味著系統管理員永遠不會通過 SSH 連接機器來查看本地/var/log/*文件。

為了（稍微）減少磁碟使用量，我認為禁用本地系統日誌可能是個好主意。

• 我怎麼做？$IncludeConfig /etc/rsyslog.d/*.conf只刪除線就足夠了/etc/rsyslog.conf嗎？
• 更重要的是，這樣做有什麼缺點或風險嗎？我記得讀過，當使用集中式日誌記錄時，一些日誌消息可能會失去（我將通過比較本地和集中式日誌來檢查消息是否失去了幾週，以檢查是否是這種情況。）還有其他風險嗎？

注意：如果重要的話，發行版是 Ubuntu 14.04，但我也對其他發行版的答案感興趣。

如果禁用它，則應將傳輸方法設置為 TCP。UDP 是預設的，沒有錯誤控制。您對刪除本地日誌記錄的行是正確的。該 conf 文件告訴 rsyslog 日誌記錄的源和目標是什麼，所以如果你刪除了一個目標，它就不會再去那裡了。

引用自：https://unix.stackexchange.com/questions/207954