linux rsyslog详解

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux rsyslog详解相关的知识,希望对你有一定的参考价值。

概念和特性

历史日志、历史事件:时间、事件本身、日志级别(根据时间的关键性程度)

系统日志服务:syslog有两个进程syslogd(system负责用户进程)、 klogd(kernel负责内核进程)

centos7:rsyslog:syslogd、klogd

rsyslog和syslog对比:

1、多进程、可以为非本机上的进程接收日志;

2、支持UDP\TCP\SSL\TLS\RELP;

3、支持mysql,PGSQL,Oralce实现日志存储;

4、强大的内置过滤器,可实现过滤日志信息中的任意部分;

5、自定义输出格式;

(并非所有程序都rsyslog负责记录,有的程序自己有自己的日志记录)

收集工具elk:elasticsearch强大的弹性搜索工具、logstash日志收集器、kibana前端日志显示

 

日志收集放:

facility设施(从功能活程序上对日志进行分类),将多个发过来具有相同特性的数据流约束在一个管道内

auth、authpriv、cron、daemon、kern、lpr、mail、mark、news、security、user、uucp、local0-local7、syslog

priority日志级别

debug、info、notice、warn(warning)、err(error)、crit(critical)、alert、emerg(panic)

指定级别:*(所有级别)、none(没有级别)、priority(此级别及更高级别的日志信息)、=priority(此级别)

 

facility.priority /var/log/messages

 

#rpm -q rsyslog

程序环境

主程序rsyslogd

配置文件/etc/rsyslog.conf

RULES:

facility.priority target(不光是文件,可以是用户)

文件路径:记录到文件中,通常在/var/log,文件路径前加-表示异步同步

用户:将日志通知给其他用户,*表示所有用户

日志服务器:[email protected]:514,必须监听在tcp或者udp某个端口,通常514端口

管道:|COMMAND

文件记录的日志的格式:

时间产生的时间

主机

进程pid

时间内容

有些日志记录二进制格式:/var/log/wtmp(记录当前系统上成功登陆的日志,last查看);/var/log/btmp(记录当前系统上失败登陆的日志,lastb查看)

lastlog命令:显示当前系统每一个用户最近一次登陆时间

 

服务脚本/etc/rc.d/init.d/rsyslog

 

rsyslog服务器:

#vi /etc/rsyslog.conf

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

配置使用基于mysql存储日志信息:

(1) 准备好MySQL服务器,创建用户,授权对Syslog数据库的全部访问权限;

(2) 安装rsyslog-mysql程序包;

(3) 创建rsyslog-mysql依赖的数据库;

# mysql -uUSERNAME -hHOST -pPASSWORD < /usr/share/doc/rsyslog-mysql-VERSION/createDB.sql

(4) 配置rsyslog使用ommysql模块

#### MODULES ####

$ModLoad ommysql

#### RULES ####

facility.priority         :ommysql:DBHOST,DB,DBUSER,USERPASS

重启rsyslog服务

(5) 安装loganalyzer

(a) 配置webserver, 支持php

# yum install httpd php php-mysql php-gd

# service httpd start

(b) loganalyzer

# cp -r loganalyzer-3.6.5/src /var/www/html/loganalyzer

# cp loganalyzer-3.6.5/contrib/*.sh /var/www/html/loganalyzer

# cd /var/www/html/loganalyzer

# chmod +x *.sh

# ./configure.sh

# ./secure.sh

# chmod 666 config.php

本文出自 “勤能补拙” 博客,请务必保留此出处http://echoroot.blog.51cto.com/11804540/1962987

以上是关于linux rsyslog详解的主要内容,如果未能解决你的问题,请参考以下文章

Linux ❀ Rsyslog(Syslog)服务与配置文件参数详解

手工配置rsyslog配置文件详解

rsyslog 配置详解

Rsyslog配置文件详解

Rsyslog配置文件详解(转)

rsyslog 详解3