rsyslog 入门 第一篇

最新推荐文章于 2024-11-22 14:47:39 发布
最新推荐文章于 2024-11-22 14:47:39 发布
阅读量684 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DianWen119/article/details/113348720
版权

本系列,使用学习场景,是基于elk的采集端。。就是只是采集文本后,rsyslog怎么处理的各种常用姿势。。。
有些抄了其他前辈的。自己整理了下。。。官方网站:www.rsyslog.com

centos 六 七
架构就是   rsyslog  --tcp方式-->  logstash -->es      ,或者,  rsyslog   --->  redis,kafka  -->logstash -->  es
------------------------------------------------------------------------------------------------------------------------------------------
1、用yum 安装最新版
  vi /etc/yum.repos.d/rsyslog.repo
[rsyslog_v8]
name=Adiscon CentOS-$releasever - local packages for $basearch
baseurl=http://rpms.adiscon.com/v8-stable/epel-$releasever/$basearch
enabled=1
gpgcheck=0
gpgkey=http://rpms.adiscon.com/RPM-GPG-KEY-Adiscon
protect=1

yum install -y --enablerepo=[rsyslog_v8] rsyslog

系统默认,6版本系统安装的是5.8版的rsyslog,7版本的系统安装的是7版本的rsyslog。
而8版的语法,可靠性,性能,功能,都在提升,新版本比老版本牛逼。防止踩不必要的坑,请使用8版本。

2、采集端原理
在磁盘上,每个文件都有自己的inode,每个文件占用多少个block 这些信息。当采集工具在读取文件时,就会产生一个状态文件。
记录着读取到哪个位置offset 了。只要文件一发生追加内容,就会增量读取。

如果是对文件进行修改,不是追加内容。则这个文件就发生改变。就会从头读起。而不是增量读取。。。应该是inode改变了。
----------
# rpm -qa|grep rsyslog
rsyslog-8.29.0-1.el6.x86_64

# cat /etc/rsyslog.conf |grep -Ev '^$|^#'
module(load="imuxsock") # provides support for local system logging (e.g. via logger command)
module(load="imklog")   # provides kernel logging support (previously done by rklogd)
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  /var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
$WorkDirectory /var/lib/rsyslog # where to place spool files        ##   默认是#注释,去掉#。就是记录状态文件存放到指定目录。默认是放在根分区 。
   当rsyslog 读取过文件,状态文件是产生在内存中,rsyslog 服务停止,就会把内存的状态文件写入磁盘。。


3、模块
# rpm -ql rsyslog |grep .so
/lib64/rsyslog/imfile.so
/lib64/rsyslog/imklog.so
/lib64/rsyslog/immark.so
/lib64/rsyslog/impstats.so
/lib64/rsyslog/imptcp.so
/lib64/rsyslog/imtcp.so
/lib64/rsyslog/imudp.so
/lib64/rsyslog/imuxsock.so
/lib64/rsyslog/lmcry_gcry.so
/lib64/rsyslog/lmnet.so
/lib64/rsyslog/lmnetstrms.so
/lib64/rsyslog/lmnsd_ptcp.so
/lib64/rsyslog/lmregexp.so
/lib64/rsyslog/lmstrmsrv.so
/lib64/rsyslog/lmtcpclt.so
/lib64/rsyslog/lmtcpsrv.so
/lib64/rsyslog/lmzlibw.so
/lib64/rsyslog/mmexternal.so
/lib64/rsyslog/mmpstrucdata.so
/lib64/rsyslog/mmsequence.so
/lib64/rsyslog/ommail.so
/lib64/rsyslog/omprog.so
/lib64/rsyslog/omtesting.so
/lib64/rsyslog/omuxsock.so
/lib64/rsyslog/pmlastmsg.so

这些是rsyslog 模块。需要另加其他模块,通过yum list |grep rsyslog 查看安装。


rsyslog的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。

  预处理模块主要解决各种syslog协议实现间的差异,举例说明如果日志系统client端使用rsyslog、server端使用syslog-ng,如果自己不做特殊处理syslog-ng是无法识别的。但是反过来,rsyslog的server端就可以识别syslog-ng发过来的消息。

Input模块包括imklg、imsock、imfile、imtcp等,是消息来源。

Filetr模块处理消息的分析和过滤,rsyslog可以根据消息的任何部分进行过滤,后面会介绍到具体的做法。

Output模块包括omfile、omprog、omtcp、ommysql等。是消息的目的地。

Queue模块负责消息的存储,从Input传入的未经过滤的消息放在主队列中,过滤后的消息放入到不同action queue中,再由action queue送到各个输出模块。

DianWen119
关注
网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 1021
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
第六章 Shell脚本编程基础入门 -- 编程基础和shell脚本语言的基本用法(一)
Raymond的博客
01-01 425
编程语言:人与计算机之间交互的语言。只检测脚本中的语法错误,但无法检查出命令错误,但不真正执行脚本。shell脚本:包含一些命令或声明,并符合一定格式的文本文件。shell脚本编程:是基于过程式、解释执行的语言。给予执行权限,在命令行上指定脚本的绝对或相对路径。直接运行解释器,将脚本作为解释器程序的参数运行。2、程序名,避免更改文件名为无法找到正确的文件。第一行必须包括shell声明序列:#!1、第一行一般为调用使用的语言。6、该程序的作用,及注意事项。总结:脚本错误常见的有三种。计算机:运行二进制指令。
rsyslog 写入到 redis
zhiyuan_2007的专栏
09-03 4358
最近由于项目需求,如要将syslog中的日志写入到redis数据库,以便实时分析,在网上找了一下,发现github上有一个项目 https://github.com/sami-bouafif/rsyslog-redis/blob/master/README.markdown 实现了syslog日志写入到redis中,按照DEADME中 的步骤,进行了安装和编译。期间发现了一些问题,并将最后
rsyslog的讲解
weixin_34336292的博客
08-17 168
rsyslog: 日志:历史日志 历史事件: 时间,事件 日志级别:事件的关键性程度,Loglevel 系统日志服务: syslog: syslogd: system klogd: kernel rsyslog: syslogd klogd rsyslog: 多线程; UDP, TCP, SSL, TLS, RELP; MySQL...
rsyslog配置以及原理
2201_76119904的博客
12-12 705
日志由程序产生,在内存中产生。通过Rsyslog来将内存中程序产生的日志持久化到硬盘,并且支持udp、tcp等协议来进行不同服务器的日志同步。
logstash 使用rsyslog输入日志
weixin_34268610的博客
01-12 377
系统: centos6.5logstash:2.4.1修改rsyslog配置文件,这里我以本机做测试[tomcat@client~]$sudovim/etc/rsyslog.conf *.*@@127.0.0.1:514#最后一行增加 [tomcat@client~]$sudo/etc/init.d/rsyslogrestart#重启r...
rsyslog详解
热门推荐
wq1205750492的博客
05-23 2万+
一、日志介绍 日志概念 日志是系统用来记录系统及应用程序运行时的一些相关信息的文本文件 日志作用 日志是为了保存相关程序的运行状态、错误信息等,为了对系统进行分析、保存历史记录以及在出现错误时发现、分析错误使用 linux系统日志类型 内核信息 服务信息 应用程序信息 二、rsyslog 1、rsyslog介绍 rsyslog是linux系统中用来实现日志功能的服务。默认已经安装,并且自动启用。 作用:主要用来采集日志,不生产日志 其特性包括: 支持输出日志到各种数据库,如 MySQ
入门linux基础之日志管理篇
01-09
第一类日志:rsyslogd:系统专职日志程序,处理绝大部分日志记录,系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息。 第二类日志:httpd/nginx/mysql :各类应用程序,可以以自己的方式记录日志。 查看...
【Linux内核】eBPF实践入门
qq_43840665的博客
11-22 1450
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于––进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
HAProxy入门(一)
GwinselF
09-05 691
Haproxy入门实践 1.Haproxy基本概念 1.什么是Haproxy 它仅提供proxy代理功能,不提供任何HA高可用的功能 但Haproxy可对后端节点进行状态检查,一旦后端节点出现故障,haproxy则会将请求重新分发. 2.Haproxy应用场景 Haproxy支持http反向代理 Haproxy支持动态程序的反向代理 Haproxy支持基于tcp数据库的反向代理 2.Haproxy安装 2.1使用yum命令安装rpm包 CentOS7默认的base仓库中包含haproxy的安装文
py-rsyslog-redis:Rsyslog omprog插件。 传播python实例的日志。 Rsylog(操作)> Python(发布)> Redis(订阅)
02-16
py-rsyslog-redis Rsyslog omprog插件,用于传播python实例的消息日志。 Rsylog(操作)> Python(readlines)> Redis(pubsub通道) 依存关系 Nome Versão Python 3.7 python3-pip 19.1.1-8 python3-virtualenv 16.6.2-1 设置 cd /opt/ git clone https://github.com/augustoliks/py-rsyslog-redis/ cd /opt/py-rsyslog-redis/ virtualenv venv ./venv/bin/pip3 install src/requirements.txt cp rsyslog-config/30-pyrsyslogredis.conf /etc/rsyslog.d/
rsyslog基本介绍
dl2277130327的博客
08-28 2959
rsyslog 配置简介 rsyslog 配置简介 2013-12-30 Dec 31 22:02:36 linux-64 rsyslogd-2039: imuxsock begins to drop messages from pid 6927 due to rate-limiting Dec 31 22:02:39 linux-64 rsyslogd-2039: imuxso
rsyslog 基本组成
weixin_30507269的博客
08-04 139
Facility 定义日志消息的来源,以方便对日志进行分类,facility 有以下几种: --kern 内核消息 --user 用户级消息 --mail 邮件系统消息 --daemon 系统服务消息 --auth 认证系统消息 --syslog 日志系统自身消息 --lpr 打印系统消息 --cron 定时任务消息 ...
rsyslog日志系统
hello,word!
02-10 2717
定义的形式有四种,适用于不同的输出模块,一般简单的格式,可以使用string的形式,复杂的格式,建议使用list的形式,使用list的形式,可以使用一些额外的属性字段(property statement),例如:position.from、position.end。比较典型的一个例子,针对不同的端口使用不同的过滤规则。在定义好ruleset后,各个输出模块就可以指定自己使用的ruleset了,具体如何指定,可以查看输出模块的手册,一般会有一个ruleset的参数,用来实现这个功能。
26.Linux平台日志管理系统rsyslog/journald、日志切割工具logrotate/cronolog
weixin_43812198的博客
06-16 419
所以,核心还得要自己产生一个 klogd 的服务, 才能将系统在开机过程、启动服务的过程中的信息记录下来,然后等 rsyslogd 启动后才传送给它来处理~;现在有了 systemd 之后,由于这玩意儿是核心唤醒的,然后又是第一支执行的软件,它可以主动调用 systemd-journald 来协助记载登录文件~ 因此在开机过程中的所有信息,包括启动服务与服务若启动失败的情况等等,都可以直接被记录到 systemd-journald 里头去!dmesg:可以查看从系统引导到正常启动整个过程的硬件级别的日志。
syslog协议及rsyslog服务全解析
xcl119xcl的专栏
11-25 1000
背景:需求来自于一个客户想将服务器的日志转发到自己的日志服务器上,所以希望我们能提供这个转发的功能,同时还要满足syslog协议。 一、什么是syslog协议 1、介绍(略) 2、syslog标准协议如下图   这里的facility为模块,serverity为等级,由这两个信息共同计算出一个PRI头部。HEADER部分包含了时间和主机名。在HEADER和MSG之间有一个空格,MSG是需要记录的日志部分(日志消息体)。   这里也就是说,理论上使用这种格式构造的字符串发送,接收方就能解析出来。
rsyslog 读日志文件 ,当rsyslog 中断时,也会丢数据
weixin_30672295的博客
08-19 165
rsyslog 日志服务器; [root@dr-mysql01 winfae_log]# grep scan0819 wj-proxy01-catalina.out.2016-08-19 [root@dr-mysql01 winfae_log]# 源端服务器: [tomcat@Proxy01 logs]$ grep scan0819 catalina.out [tomcat@Pr...
RSYSLOG系列】rsyslog远程服务器搭建
day day up
11-11 3649
搭建接收日志的rsyslog服务器
第一类:rsyslog:系统专职日志程序。
最新发布
03-25
### rsyslog 系统日志程序的功能介绍 #### 日志管理基础 rsyslog 是一种增强型的日志管理系统,用于替代传统的 syslog 和 klogd 组件。传统上,在 CentOS 5 及更早版本中,系统日志由两个独立的服务负责:`syslogd` 负责记录应用程序产生的日志,而 `klogd` 则专注于捕获 Linux 内核生成的日志[^1]。 然而,随着技术的发展,这种分离式的架构逐渐显得不足以为现代复杂环境提供高效支持。因此,rsyslog 应运而生,作为一个统一且强大的解决方案来满足这些需求。 #### 高性能特性 相比原始的 syslog 实现方式,rsyslog 提供显著更高的吞吐量以及更加灵活配置选项的能力。官方资料表明其能够每秒处理多达一百万条消息事件[^2]。这一能力使得即使是在高负载生产环境中也能保持稳定运行状态而不至于因为大量涌入的数据而导致崩溃或者延迟增加等问题发生。 #### 安全性和模块化设计 除了速度之外,安全性也是该软件开发过程中重点考虑的一个方面;通过内置加密机制保护传输过程中的敏感信息不被窃取篡改成为可能 。另外值得注意的是它的高度可扩展性——借助于插件系统(plugins),用户可以根据实际需要加载不同的功能组件以实现特定目的 ,比如数据库存储、网络协议适配等等。 #### 配置与维护 当完成必要的设置更改之后(例如指定远程服务器地址以便集中式日志管理),可以通过简单的命令重新启动服务使新参数生效: ```bash [root@node1 ~]# systemctl restart rsyslog ``` 此操作会立即应用最新的规则集并开始按照新的指示行事[^3]。 综上所述,rsyslog 不仅继承了经典 syslog 协议的核心理念,还在此基础上进行了多方面的改进优化,从而成为了当前主流操作系统平台上的首选日志工具之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值