rsyslog及loganalyzer

Posted hanshanxiaoheshang

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了rsyslog及loganalyzer相关的知识,希望对你有一定的参考价值。

rsyslog:

 

日志:历史日志

历史事件:

时间,事件

日志级别:事件的关键性程度,Loglevel

 

系统日志服务:

syslog:

syslogd: system

klogd: kernel

 

rsyslog:

syslogd

klogd

 

rsyslog:

多线程;

UDP, TCP, SSL, TLS, RELP;

mysql, PGSQL, Oralce实现日志存储;

强大的过滤器,可实现过滤日志信息中任何部分;

自定义输出格式

 

elasticsearch, logstash, kibana = elk

 

日志收集方:

facility:设施,从功能或程序上对日志进行分类;

auth, authpriv, cron, daemon, kern, lpr, mail, mark, news, security, user, uucp, local0-local7, syslog

priority

debug, info, notice, warn(warning), err(error), crit(critical), alert, emerg(panic)

 

指定级别:

*: 所有级别

none: 没有级别

priority: 此级别及更高级别的日志信息

=priority:此级别

 

facility.priority    /var/log/messages

 

程序环境:

主程序:rsyslogd

配置文件:/etc/rsyslog.conf

服务脚本:/etc/rc.d/init.d/rsyslog

 

rsyslog.conf

RULES:

facility.priority    target

 

target:

文件路径:记录于指定的日志文件中,通常应该在/var/log目录下;文件路径前的“-”表示异步写入;

用户:将日志通知给指定用户

*: 所有用户

日志服务器:@host

host: 必须要监听在tcp或udp协议514端口上提供服务;

管道: |COMMAND

 

文件记录的日志的格式:

事件产生的日期时间            主机     进程(pid):事件内容

 

有些日志记录二进制格式:/var/log/wtmp,/var/log/btmp

/var/log/wtmp: 当前系统上成功登录的日志;

last

/var/log/btmp:当前系统上失败的登录尝试;

lastb

 

lastlog命令:显示当前系统每一个用户最近一次的登录时间;

 

rsyslog服务器:

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

 

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

 

配置使用基于mysql存储日志信息:

(1) 准备好MySQL服务器,创建用户,授权对Syslog数据库的全部访问权限;

(2) 安装rsyslog-mysql程序包;

(3) 创建rsyslog-mysql依赖的数据库;

# mysql -uUSERNAME -hHOST -pPASSWORD < /usr/share/doc/rsyslog-mysql-VERSION/createDB.sql

(4) 配置rsyslog使用ommysql模块

#### MODULES ####

$ModLoad ommysql

 

#### RULES ####

facility.priority    :ommysql:DBHOST,DB,DBUSER,USERPASS

 

重启rsyslog服务

(5) 安装loganalyzer

(a) 配置webserver, 支持php

# yum install httpd php php-mysql php-gd

# service httpd start

(b) loganalyzer

# cp -r loganalyzer-3.6.5/src /var/www/html/loganalyzer

# cp loganalyzer-3.6.5/contrib/*.sh /var/www/html/loganalyzer

# cd /var/www/html/loganalyzer

# chmod +x *.sh

# ./configure.sh

# ./secure.sh

# chmod 666 config.php

以上是关于rsyslog及loganalyzer的主要内容,如果未能解决你的问题,请参考以下文章

rsyslog及logrotate小结

日志管理-rsyslog日志服务器及loganalyzer

Rsyslog-legacy(旧版本语法)配置说明及举例

日志文件的作用及功能

20190306 日志管理及网络文件共享服务

模拟sudo+rsyslog日志审计功能