在上篇中说到,Unix/Linux系统产生日志文件的方式有两种,除了少部分软件开发商自定义写入的之外,
大部分日志还是通过linux统一管理日志syslog服务写入的。
syslog是一种标准的协议,分为客户端和服务器端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息,并做出保存到特定的日志文件中或者其他方式的处理。
在Linux中,常见的syslog服务器端程序是rsyslogd守护程序(centos6.0以后)。
如下图,这个程序可以从三个地方接收日志消息:
- /dev/log(Unix域套接字);
- UDP端口514(因特网数据包套接字);
- 特殊的设备/dev/klog(读取内核发出的消息)。
1和2的套接字区别主要在于(1)是进程通信,不需要绑定IP。对于大多数程序而言就是向/dev/log这个套接字发送日志消息。
下面的图说明了rsyslog内部的结构以及原理
rsyslog的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。
预处理模块主要解决各种syslog协议实现间的差异,举例说明如果日志系统client端使用rsyslog、server端使用syslog-ng,如果自己不做特殊处理syslog-ng是无法识别的。
Input模块是消息来源。
Filter模块处理消息的分析和过滤,rsyslog可以根据消息的任何部分进行过滤
Output模块是消息的目的地。
Queue模块负责消息的存储,从Input传入的未经过滤的消息放在主队列中,过滤后的消息放入到不同action queue中,再由action queue送到各个输出模块。
扫一扫
41
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
