rsyslog性能表现

最新推荐文章于 2024-08-18 03:26:35 发布
最新推荐文章于 2024-08-18 03:26:35 发布
阅读量7.2k 收藏 3
点赞数

syskolgd的缺点

虽说 Sysklogd 已经发展进30余年,但其性能在高负载下会有诸多问题,如:

Ø  记录丢失

Syslog 默认使用 UDP 514 端口来接收远程主机发送过来的日志,当有大量的日志需要syslogd进程来处理时就会有所残缺。这是由于 UDP 并没有丢包检测、重传、速率控制等机制,因此当很高速率的去发送 UDP 包时,对端检测到丢包是必然的。

Ø  记录缓慢,磁盘IO利用率较高进而导致CPU阻塞影响系统性能

当有大量的日志需要syslogd 进程来处理时,syslogd 进程会频繁请求磁盘IO,使磁盘利用率升高,进而导致CPU由于等待进程完成IO请求而发生阻塞,最终影响系统性能。

关于Rsyslog

Rsyslog 可以理解为一个 sysklogd 的多线程增强版,其在 sysklogd 的基础上扩展了很多其他功能,如:数据库支持(Mysql、Oracle、PostgreSQL等)、日志内容筛选、定义日志格式模板等。除了默认的 UDP 协议外,Rsyslog 还支持 TCP 协议来接受日志。可以对输出的文件进行自动压缩并支持多个TCP侦听以及性能方面的提升。使用 Rsyslog 可以有效减轻系统磁盘IO,并且其支持TCP传输非常可靠,可以对日志进行过滤,提取有效日志。况且 Red Hat 从6.0开始已经选择了 Rsyslog,自然是有它的道理的。如果我们自己没有研发能力,那么“跟随上游”,无疑是最明智的选择。

看图说话(磁盘TPS为200-300):

 替换前(sysklogd):

%wait sysklog

替换后(rsyslog):

%wait rsyslog

我的配置:

因为rsyslog是支持多进程启动的,我这里配置了两个配置文件分别启动 rsyslog,用来分开本地日志和远程日志方便以后分析,提取不同地方的日志。

1. 配置 rsyslog.conf 用于监听本地 syslog 日志:

...

加载本地 syslog 模块 

$ModLoad imuxsock

加载 kernel 模块 

$ModLoad imklog

 

定义日志格式默认模板 

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

 

# Log anything (except mail) of level info or higher.

# Don't log private authentication messages!

*.info;mail.none;authpriv.none;cron.none         -/var/log/messages

 

# The authpriv file has restricted access.

authpriv.*                                              /var/log/secure

 

# Log all the mail messages in one place.

mail.*                                                  -/var/log/maillog

 

# Log cron stuff

cron.*                                                  -/var/log/cron

 

# Everybody gets emergency messages

# *.emerg                                               *

*.emerg                                                 :omusrmsg:*

 

# Save news errors of level crit and higher in a special file.

uucp,news.crit                                          -/var/log/spooler

 

# Save boot messages also to boot.log

local7.*                                                /var/log/boot.log

...

注:action'*' 以后将会被rsyslog遗弃(rsyslog语法有歧义)rsyslog将采用“ :omusrmsg:*”的写法

2. 配置 rsyslog.udp.conf 用于监听UDP远程 syslog 日志:

...

加载 udp 侦听模块

$ModLoad imudp.so

指定 udp 侦听端口

$UDPServerRun 514

 

定义日志格式

$template NETCOOL,"%TIMESTAMP% %fromhost-ip% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"

$ActionFileDefaultTemplate NETCOOL

 

# Log all the messages in one place.

*.*                                                  /var/log/ncolog

...

注:模板 RSYSLOG_TraditionalFileFormat rsyslog默认保留模板,官网对其的解释是:the "old style" default log file format with low-precision timestamps,它的具体格式为:

$template TraditionalFileFormat,"%TIMESTAMP% %HOSTNAME%%syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"


其中:TraditionalFileFormat为模板名;“   ”之间的为模板内容,由一些变量构成,常用的有:msg消息主体、fromhost-ip来源IP等。这个模板貌似对H3C设备token4的解析存在一些问题,建议将%HOSTNAME%替换为%fromhost-ip%另行自定义模板

 

3. 为了方便日后的维护,我们按照 RedHat 的风格编写 Rsyslog 的启动脚本:

01 #!/bin/bash
02 # chkconfig: 2345 12 88
03 # description: Modded by ms2008 on 2013/02/16
04  
05 # Source function library.
06 . /etc/init.d/functions
07  
08 RETVAL=0
09 PIDFILE1=/var/run/rsyslogd.pid
10 PIDFILE2=/var/run/rsyslogd.udp.pid
11 CONFILE1=/etc/rsyslog.conf
12 CONFILE2=/etc/rsyslog.udp.conf
13  
14 prog=rsyslog
15 exec=/usr/local/sbin/rsyslogd
16 lockfile=/var/lock/subsys/$prog
17  
18 # Source config
19 if [ -f /etc/sysconfig/$prog ] ; then
20     . /etc/sysconfig/$prog
21 fi
22  
23 start() {
24     [ -x $exec ] || exit 5
25  
26     umask 077
27  
28         echo -n mce_markerquot;Starting local logger: "
29         # this one listens on the "usual" socket /dev/log
30         daemon --pidfile="$PIDFILE1" $exec -x -f $CONFILE1 -i "$PIDFILE1"
31         RETVAL=$?
32         echo
33         [ $RETVAL -eq 0 ] && touch $lockfile
34         # this one listens only to the UDP port
35         sleep 1
36         [ $RETVAL -eq 0 ] && { echo -n mce_markerquot;Starting remote logger: "; daemon --pidfile="$PIDFILE2" $exec -x -f $CONFILE2 -i "$PIDFILE2"; }
37         RETVAL=$?
38         echo
39  
40         return $RETVAL
41 }
42 stop() {
43         echo -n mce_markerquot;Shutting down local logger: "
44         killproc -p "$PIDFILE1" $exec
45         RETVAL=$?
46         echo
47         [ $RETVAL -eq 0 ] && { echo -n mce_markerquot;Shutting down remote logger: "; killproc -p "$PIDFILE2" $exec; }
48         RETVAL=$?
49         echo
50         [ $RETVAL -eq 0 ] && rm -f $lockfile
51         return $RETVAL
52 }
53 rhstatus() {
54         status -p "$PIDFILE1" -l $prog $exec
55         status -p "$PIDFILE2" -l $prog $exec
56 }
57 restart() {
58         stop
59         start
60 }
61  
62 case "$1" in
63   start)
64         start
65         ;;
66   stop)
67         stop
68         ;;
69   restart)
70         restart
71         ;;
72   reload)
73         exit 3
74         ;;
75   force-reload)
76         restart
77         ;;
78   status)
79         rhstatus
80         ;;
81   condrestart|try-restart)
82         rhstatus >/dev/null 2>&1 || exit 0
83         restart
84         ;;
85   *)
86         echo mce_markerquot;Usage: $0 {start|stop|restart|condrestart|try-restart|reload|force-reload|status}"
87         exit 3
88 esac
89  
90 exit $?
麦晓宇
关注
rsyslog交叉编译打包
08-06
rsyslog是一款强大的系统日志收集和转发工具,广泛应用于Linux环境,用于处理和记录来自不同系统的日志信息。在嵌入式设备或资源有限的系统中,有时我们需要对rsyslog进行交叉编译,以便在目标平台上运行。交叉编译...
rsyslog配置文件详解(常用的详解,很少用的翻官网罢)--适用v7/v8版本
Vantler的博客
03-05 1万+
rsyslog工具v7/v8版本配置文件详解
RSYSLOG系列】rsyslog远程服务器搭建
weixin_54954007的博客
11-11 2768
搭建接收日志的rsyslog服务器
Python日志配置rsyslog
最新发布
weixin_32296621的博客
08-18 29
我整理的一些关于【Python】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/Hpqqk2使用Python日志配置rsyslog:完整指南 在现代应用程序中,日志是至关重要的信息来源,它提供了关于系统运行状态、错误和性能的深刻见解。Python作为一种广泛使用的编程语言,其...
【Linux】rsyslog日志服务(配置,测试、日志转储)
热门推荐
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
02-14 2万+
Rsyslog的全称是 rocket-fast system for log ,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。 它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。
rsyslog使用:omrelp:方式配置远程转发
刘元林的博客
02-23 1530
rsyslog有三种转发消息的方式UDP传输:它的损耗很大,但很标准;TCP传输:它只在某些情况下丢失消息,但大多数情况下是正常的;RELP传输:而RELP传输不会丢失消息,但目前仅作为rsyslogd 3.15.0及以上版本的一部分可用。要通过UDP将消息转发到另一个主机,请在主机名前面加上at符号(“@”)。要通过普通tcp转发,请在前面加上两个@号(“@@”)。要通过RELP转发,请在主机名前面加上字符串“:omrelp:”。
rsyslog日志服务器搭建
weixin_34387284的博客
11-08 896
第1章 简介1.1 Rsyslog介绍 rsyslog是比syslog功能更强大的日志记录系统,可以将日志输出到文件,数据库和其它程序。ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地,并可定制和过滤、筛选。据官网介绍,现在可以处理100万条信息。特性:1、可以...
rsyslog安装包适合centos6
09-22
rsyslog是一款开源的系统日志守护程序,它是syslogd的增强版,提供了更强大的功能和更高的性能rsyslog能够处理来自不同源的日志消息,支持多线程操作,具备良好的安全性,并且采用模块化设计,方便扩展和定制。在...
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS单向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议单向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
rsyslog-docker:rsyslog docker容器
05-23
rsyslog-docker rsyslog docker任务的游乐场-尚无生产另请参见 码头工人目前使用多个容器。高山Linux 我们打算将alpine linux用于日志记录设备容器,因为它体积小,安全并且相对较新。 现在,高山错过了我们需要的...
rsyslog所有用户日志审计
12-22
rsyslog所有用户日志审计 rsyslog所有用户日志审计是指通过rsyslog来收集和记录所有用户的日志信息,包括普通用户和root用户。这种日志审计可以帮助管理员追踪用户的操作记录,检测潜在的安全威胁和问题。 rsyslog...
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS双向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议双向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
rsyslog配置说明.docx
04-02
### rsyslog配置详解 #### 一、日志类型与级别 **日志设备(类型)** 在rsyslog中,日志设备是指产生日志的来源或应用程序。例如,`kern`代表内核生成的日志,`auth`表示认证服务(如SSH登录尝试)的日志。 **...
rsyslog-tls.zip
12-01
6. **监控与维护**:启用TLS后,持续监控系统性能和日志传输状态,及时发现并解决可能出现的问题,保持系统的稳定运行。 rsyslog与TLS的结合,为日志传输提供了强大的安全保障,是构建安全日志环境的重要一环。然而...
rsyslog系列】rsyslog远程接收日志服务器配置文件之UDP/TCP协议
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的UDP/TCP协议传输场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
rsyslog部署安装
05-17
为了保证rsyslog服务的安全和性能,我们还应当设置合适的配置选项,比如限制访问、设置模块化配置以及配置好输出格式。由于rsyslog的配置文件中可以使用正则表达式和通配符等高级特性,因此可以在配置时使用这些特性...
Linux Rsyslog配置(日志管理服务)(RELP传输方式、TCP传输方式、UDP传输方式)
LKmnbZ's Blog
01-20 4005
Rsyslog 可以简单的理解为syslog的超集 在老版本的Linux中 Red Hat Enterprise Linux3/4/5默认是使用的syslog作为系统的日志工具 从RHEL 6开始系统默认使用Rsyslog ryslog是一个快速处理收集系统日志的程序 支持C/S架构 可通过UDP/TCP协议提供日志集中管理服务 为什么要使用Rsyslog WEB服务器多的时候...
Linux原生日志系统Rsyslog详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-25 1万+
一、概述 Rsyslog 是一个 syslogd 的多线程增强版,依然基于Syslog协议(linux6之前默认使用syslog程序,centos6用rsyslog所取代)完成系统日志的处理转发,官方形容它是一个极速(如火箭般快速)的日志处理系统。它提供高性能、极好的安全功能和模块化设计。虽然它基于常规的 syslogd,但 rsyslog 已经演变成了一个强大的工具,可用于: 1)接收来自各种来源的输入 2)转换过滤格式化输出 3)将结果输出到不同的目的地,集成日志分析平台 Rsyslog支持 MySQL
rsyslog研究
u010154760的专栏
04-20 2177
第零章 综述 最近因为工作需要研究了rsyslog,主要是把官网的文档看了一遍,因为学习的过程中,发现中文资料很少,所以研究的差不多以后,决定拿出来分享一下。 rsyslog官网的文档还是挺烂的(在我看完后,官网有了一次改版,可能好一些了),尤其是配置文件部分,每个版本都有改动,但是官网只有最新版本的参数介绍,好几次我按照文档的参数写配置文件,或者报错,或者参数不起作用,因此大家使用哪个版本的
rsyslog 与 syslog
06-06
rsyslog和syslog都是Linux系统中的日志服务,用于收集和管理系统日志信息。它们的主要区别在于功能和实现方式。 rsyslog是syslog的一个增强版,它支持TCP、UDP和TLS等协议,并提供了更加灵活的日志过滤和分类功能。rsyslog还支持多线程处理,可以处理大量的日志数据,有更高的性能表现。此外,rsyslog还提供了远程日志记录和日志转发功能,可以将日志信息转发到远程服务器上,实现日志中心化管理。 而syslog是Linux系统默认的日志服务,它支持UDP协议,并提供了简单的日志过滤和分类功能。syslog将日志信息记录到/var/log目录下的各个日志文件中,包括messages、secure、auth等文件。syslog的实现方式是通过系统日志记录器的UNIX socket文件/dev/log来接收来自各个程序的系统日志,并把日志记录到syslog文件中。 综上所述,rsyslog在日志收集和管理方面提供了更加丰富的功能和更高的性能表现,适用于需要处理大量日志数据和实现日志中心化管理的场景。而syslog则是Linux系统默认的日志服务,适用于简单的日志收集和管理需求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值