linux rsyslog详解

Posted 2020-10-05

概念和特性

历史日志、历史事件：时间、事件本身、日志级别（根据时间的关键性程度）

系统日志服务：syslog有两个进程syslogd(system负责用户进程)、 klogd(kernel负责内核进程)

centos7:rsyslog：syslogd、klogd

rsyslog和syslog对比：

1、多进程、可以为非本机上的进程接收日志；

2、支持UDP\TCP\SSL\TLS\RELP；

3、支持mysql,PGSQL,Oralce实现日志存储；

4、强大的内置过滤器，可实现过滤日志信息中的任意部分；

5、自定义输出格式；

(并非所有程序都rsyslog负责记录,有的程序自己有自己的日志记录)

收集工具elk：elasticsearch强大的弹性搜索工具、logstash日志收集器、kibana前端日志显示

 

日志收集放：

facility设施(从功能活程序上对日志进行分类),将多个发过来具有相同特性的数据流约束在一个管道内

auth、authpriv、cron、daemon、kern、lpr、mail、mark、news、security、user、uucp、local0-local7、syslog

priority日志级别

debug、info、notice、warn(warning)、err(error)、crit(critical)、alert、emerg(panic)

指定级别：*（所有级别）、none（没有级别）、priority（此级别及更高级别的日志信息）、=priority（此级别）

 

facility.priority /var/log/messages

 

#rpm -q rsyslog

程序环境

主程序rsyslogd

配置文件/etc/rsyslog.conf

RULES:

facility.priority target（不光是文件，可以是用户）

文件路径：记录到文件中，通常在/var/log，文件路径前加-表示异步同步

用户：将日志通知给其他用户，*表示所有用户

日志服务器：[email protected]:514，必须监听在tcp或者udp某个端口，通常514端口

管道：|COMMAND

文件记录的日志的格式：

时间产生的时间

主机

进程pid

时间内容

有些日志记录二进制格式：/var/log/wtmp(记录当前系统上成功登陆的日志,last查看);/var/log/btmp(记录当前系统上失败登陆的日志,lastb查看)

lastlog命令：显示当前系统每一个用户最近一次登陆时间

 

服务脚本/etc/rc.d/init.d/rsyslog

 

rsyslog服务器：

#vi /etc/rsyslog.conf

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

配置使用基于mysql存储日志信息：

(1) 准备好MySQL服务器，创建用户，授权对Syslog数据库的全部访问权限；

(2) 安装rsyslog-mysql程序包；

(3) 创建rsyslog-mysql依赖的数据库；

# mysql -uUSERNAME -hHOST -pPASSWORD < /usr/share/doc/rsyslog-mysql-VERSION/createDB.sql

(4) 配置rsyslog使用ommysql模块

#### MODULES ####

$ModLoad ommysql

#### RULES ####

facility.priority         :ommysql:DBHOST,DB,DBUSER,USERPASS

重启rsyslog服务

(5) 安装loganalyzer

(a) 配置webserver, 支持php

# yum install httpd php php-mysql php-gd

# service httpd start

(b) loganalyzer

# cp -r loganalyzer-3.6.5/src /var/www/html/loganalyzer

# cp loganalyzer-3.6.5/contrib/*.sh /var/www/html/loganalyzer

# cd /var/www/html/loganalyzer

# chmod +x *.sh

# ./configure.sh

# ./secure.sh

# chmod 666 config.php

本文出自 “勤能补拙” 博客，请务必保留此出处http://echoroot.blog.51cto.com/11804540/1962987