rsyslogd配置分析

已于 2023-04-23 15:47:16 修改
阅读量757 收藏 4
点赞数
分类专栏: ubuntu linux 文章标签: ubuntu linux
于 2023-04-23 15:45:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kami_Jiang/article/details/130323363
版权

ubuntu 版本:18.04

日志配置

rsyslog服务用于管理syslog

其配置文件位于 /etc/rsyslog.conf,分析下其中的配置项:

/etc/rsyslog.conf

# provides UDP syslog reception
#module(load="imudp")
#input(type="imudp" port="514")

# provides TCP syslog reception
#module(load="imtcp")
#input(type="imtcp" port="514")

监听514端口,进程可通过socket记录日志

$template tetraFormat,"%TIMESTAMP% %HOSTNAME% <%syslogseverity-text%> %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
$ActionFileDefaultTemplate tetraFormat

规定名为 tetraFormat 的日志格式,并将其设置为默认格式

# Filter duplicated messages
$RepeatedMsgReduction on

开启重复的log折叠功能

#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

文件权限设置


#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf
#$IncludeConfig /etc/outchannel.conf

引用了其他配置文件

# Qualcomm applications
$template QualcommDynFile,"/var/log/Qualcomm/%programname%.log"

# fsm_fpga_lib
If $syslogtag contains 'fsm_fpga_lib'
or $syslogtag contains 'fsm_dp_lib'
or $syslogtag contains 'fsm_temp_lib'
or $syslogtag contains 'diagfwd'
or $syslogtag contains 'kickstart'
or $syslogtag contains 'fsmMonitor'
or $syslogtag contains 'tti_intr_test'
or $syslogtag contains 'fsm_rf_lib'
or $syslogtag contains 'fsm_mace'
or $syslogtag contains 'tfcsSvc'
or $syslogtag contains 'syncMgr'
or $syslogtag contains 'extPPS'
or $syslogtag contains 'extClk'
or $syslogtag contains 'calMgr'
then {
        *.*             ?QualcommDynFile
}

定义了系列文件,将高通模块的日志转储到各自tag名称的文件中

/etc/rsyslog.d/50-default.conf:

*.*;auth,authpriv.none          -/var/log/syslog

*.* 表示记录所有设施和所有优先级。

auth,authpriv.none 表示不要记录auth和authpriv工具。

-/var/log/syslog表示登录到文件/ var / log / syslog。前面的破折号告诉syslogd不要调用fsync(),即在每次写入文件后不要将内核缓冲区刷新到磁盘。

日志大小监控,滚动转储

两种方法:

  1. $outchannel
    /etc/rsyslog.conf 中 $IncludeConfig /etc/outchannel.conf 引用了syslog 的监控
# Copyright (c) 2020 Qualcomm Technologies, Inc.
# All Rights Reserved.
# Confidential and Proprietary - Qualcomm Technologies, Inc.

# log rotation via outchannel
$outchannel log_rotation, /var/log/syslog, 10485760, /usr/local/bin/log_rotation_script
# Activate outchannel
*.* :omfile:$log_rotation

定义名叫 log_rotation 的outchannel, 限制文件大小是 10485760, 单位是Byte, 也就是10M。当大小超过10M,则会执行 /usr/local/bin/log_rotation_script

但这个脚本在我们设备上执行有问题,满10M后会停止记录,也没有进行转储

  1. logrotate

参考:
https://www.cnblogs.com/rendd/p/17240086.html
https://www.cnblogs.com/rendd/p/17172859.html

logrotate对syslog的配置文件

/etc/logrotate.d/rsyslog

/var/log/syslog
{
        size 30M
        rotate 7
        missingok
        notifempty
        delaycompress
        compress
        postrotate
                /usr/lib/rsyslog/rsyslog-rotate
        endscript
}

/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/mail.log
/var/log/daemon.log
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
/var/log/lpr.log
/var/log/cron.log
/var/log/debug
/var/log/messages
{
        rotate 4
        weekly
        missingok
        notifempty
        compress
        delaycompress
        sharedscripts
        postrotate
                /usr/lib/rsyslog/rsyslog-rotate
        endscript
}

logrotate 用来转储日志文件,分割压缩日志,删除旧的,创建新的

logrotate 一般系统会自带,不需要自己安装

logrotate 处理日志,依靠 cron 每天在执行时间自动执行

配置文件

  • 主配置是 /etc/logrotate.conf,自动执行的日志转储都通过主配置文件引入。

  • 默认引入的是 /etc/logrotate.d/ 目录,通常都放在这里。

  • 状态记录文件,/var/lib/logrotate/logrotate.status

  • 自动执行 logrotate,依赖 /etc/cron.daily/logrotate

  • 主配置中定义了公用的配置,根据需求进行配置

    • 轮询日志文件,每周一次。 weekly
    • 转储保存日志数量。rotate 4
    • 转储旧日志后,创建一个新日志文件。create
    • 转储日志用当前日期命名。dateext
    • 压缩转储后的日志。compress

  • 自定义配置项后,会覆盖主配置的默认值

    配置参数说明

  • compress 用 gzip 压缩转储后的日志

  • nocompress 不压缩转储文件

  • copytruncate 日志文件备份并截断,先备份再清空,中间时间差可能会丢失日志

  • nocopytruncate 备份日志文件但不截断

  • create <mode owner group> 指定新建文件属性(权限 用户 用户组)

  • nocreate 不创建新文件

  • delaycompress 转储的文件到下一次才压缩

  • nodelaycompress 转储的同时压缩

  • missingok 日志不存在时跳过,继续下一个日志

  • errors <address> 转储的错误信息发送到指定邮箱

  • ifempty 日志为空时也进行转储

  • notifempty 日志为空时不转储

  • mail <address> 转储的日志文件发送到指定邮箱

  • nomail 转储时不发送日志文件

  • olddir <directory> 转储日志文件放到指定目录

  • noolddir 转储日志和当前日志放在同一目录

  • sharedscripts 执行 postrotate 脚本,所有日志转储后统一执行一次脚本

  • prerotate...endscript 转储前执行的脚本,需独立一行

  • postrotate...endscript 转储后执行脚本,需独立成行

  • daily 转储周期为每天一次

  • weekly 转储周期为每周一次

  • monthly 转储周期为每月一次

  • rotate <count> 转储文件保存个数,

  • dateext 转储文件命名格式为当前日期

  • dateformat <.%m> 转储文件命名格式,结合 dateext 使用,有 %Y、%m、%d、%s 四种格式

  • size <file size> 文件超过指定大小才会转储(如:100k、2M、5(byte))

  • minsize 作用同 size

    手动转储

    • 执行 /etc/logrotate.d/ 下的配置文件
    logrotate -f -v /etc/logrotate.d/bootlog

    定时转储

    logrotate依靠cron来实现定时执行

    系统会定时执行/etc/cron.daily/logrotate这个脚本

    #!/bin/sh

# Clean non existent log file entries from status file
cd /var/lib/logrotate
test -e status || touch status
head -1 status > status.clean
sed 's/"//g' status | while read logfile date
do
    [ -e "$logfile" ] && echo "\"$logfile\" $date"
done >> status.clean
mv status.clean status

test -x /usr/sbin/logrotate || exit 0
/usr/sbin/logrotate /etc/logrotate.conf

    cron的执行时间见/etc/crontab

    # /etc/crontab: system-wide crontab
`# Unlike any other crontab you don't have to run the `crontab'`
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user command
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#

    Ubuntu调用run-parts命令,定时运行四个目录下的所有脚本。

    /etc/cron.hourly下的脚本会被每小时运行一次,在每小时的17分时运行。

    /etc/cron.daily下的脚本会被每天运行一次,在每天6点25分运行。

    /etc/cron.weekly下的脚本会被每周运行一次,在每周第7天的6点47分运行。

    /etc/cron.monthly下的脚本会被每月运行一次,在每月1号的6点52分运行。

江子无怒
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
运维笔记11(linux系统日志rsyslogd,采集日志分类存放服务journalctld,时间同步服务chronyd)
No_red的博客
10-19 3011
概述:系统日志的分类,负责采集日志和分类存放的服务rsyslog,负责收集并存储各类日志数据的系统服务systemd-journald。
日志管理-rsyslogd服务
08-21
对于希望优化系统日志管理的管理员来说,深入理解和掌握 rsyslogd 的配置和使用是非常有价值的。无论是通过本地配置还是远程日志集中管理,rsyslogd 都能提供强大的支持,帮助维护系统的稳定性和安全性。
系统自带的日志管理工具-rsyslogd
weixin_34132768的博客
10-27 250
                         系统自带的日志管理工具-rsyslogd                                                 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。       一.日志管理简介 1.什么是日志   系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来...
Linux基础】-- 日志系统syslog与logger的使用方法整理
最新发布
sz66cm 学习随笔
06-18 543
syslog是一种标准用于记录程序运行日志信息的协议。
Linux 系统日志管理 rsyslogd配置文件
weixin_34194317的博客
12-17 193
rsyslogd配置文件 rsyslogd 服务是依赖其配置文件 /etc/rsyslog.conf 来确定哪个服务的什么等级的日志信息会被记录在哪个位置的。也就是说,日志服务的配置文件中主要定义了服务的名称、日志等级和日志记录位置。 /etc/rsyslog.conf配置文件的格式 该配置文件的基本格式如下所示: authpriv.* /var/log/secure #服务...
日志,wc,tail,rsyslogd配置文件
idhfufh的博客
04-23 833
【vim 中按'v'进入可视化模式,比较像鼠标操作 shell,壳,一个程序,命令解释。】 两种处理日志的程序: --rsyslogd:1)系统专职日志程序2)处理绝大部分日志记录3)系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息。 【使用ps axu (-a查看任务进程显示终端上的所有进程包括其他用户的进程(-x显示没有控制终端的进程(-u显示进程的详细状态】 【tail 命令可用于查看文件的内容,有一个常用的参数-f常用于查阅正在改变的日志文件(tailf)】 #tail -..
rsyslogd
yunweimao的博客
06-17 636
最近遇到一个需求,需要把线上环境的debug日志及集中化收集起来,一方面是方便开发调试;一方面是避免直接到线上环境查看,存在安全隐患。常用可选方案:rsyslog发送端 + rsyslo...
Unix系统用户登录、操作命令日志配置方法-(二)+Linux篇+C+Shell.doc
12-10
最后,理解正则表达式和日志分析工具(如`grep`、`awk`、`sed`)是有效分析日志的关键。通过这些工具,可以筛选特定事件、提取数据或生成统计报告。 总结起来,配置Unix/Linux系统的用户登录和操作命令日志涉及多个...
rsyslog不记日志分析(1).docx
10-23
客户端程序通常使用内建的syslog函数(如glibc库提供的openlog, syslog, closelog)来发送日志,这些日志随后会被rsyslogd读取并按照rsyslog.conf配置文件的规则进行处理和存储。 rsyslog.conf配置文件位于/etc/...
操作系统安全:var log syslog分析.docx
06-01
日志守护进程syslog(也称为syslogd或rsyslogd)是实现这一功能的核心组件。它监听来自系统中其他程序的syslog消息,根据预定义的规则将这些消息分类并写入不同的日志文件。这些规则通常定义在配置文件中,允许系统...
认识与分析登录档(二).docx
09-29
在大多数Linux发行版中,rsyslogd是默认的日志守护程序,它负责接收和记录来自系统和服务的各种日志信息。要检查rsyslog.service是否正在运行和设置为开机启动,你可以使用相关的命令。一旦确定rsyslog服务在运行,...
6.4.2、rsyslogd 配置文件格式及其内容
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-08 890
rsyslogd服务依赖配置文件/etc/rsyslog.conf来确定哪个服务的什么等级的日志信息会被记录在哪个位置(日志服务的配置文件中主要定义了服务的名称、日志等级和日志记录位置)。
Linux日志管理服务 rsyslogd
兮动人
02-15 1325
日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。可以这样理解:日志是用来记录重大事件的工具。
日志管理系统rsyslogd
weixin_44996489的博客
03-01 7138
日志管理系统rsyslogd 什么是rsyslogd rsyslogd是一个进程,是一个日志服务,我们可以通过rpm -qc查询软件包的方式来查看 [root@localhost ~]# rpm -qc rsyslog /etc/logrotate.d/syslog /etc/rsyslog.conf /etc/sysconfig/rsyslog 查询结果会出现三个文件: /etc/...
Linux系统日志 rsyslogd
ispurs的博客
02-19 1406
Linux系统日志 rsyslogd rsyslogd是linux系统提供的一个守护进程,用来处理系统日志。rsyslogd守护进程既能够接受用户进程输出的日志,也能够接受内核日志。 ispurs-virtual-machine:~$ ps aux | grep rsyslogd syslog 6033 0.0 0.0 256588 3328 ? Ssl 2月18 0:00 /usr/sbin/rsyslogd -n 1. syslog函数 用户进程可以通过syslog
php日志接入rsyslog,php – Rsyslog重复日志(rsyslog.conf和rsyslog.d / something.conf)
weixin_32247165的博客
03-18 234
我使用local0创建了一个自定义日志(PHP将日志条目发送到rsyslog).它使用新的自定义文件(/var/log/sea.log).问题是日志被发送到/var/log/sea.log,/ var / log / messages和/ var / log / syslog.我该如何防止这种情况发生?我只需要将日志发送到/var/log/sea.log./etc/rsyslog.conf:# ...
syslogd守护进程配置文件说明
miroku_it的专栏
12-29 1102
http://book.51cto.com/art/200711/59768.htm8.3.2  syslogd守护进程配置文件说明syslogd守护进程根据/etc/syslog.conf中的配置信息实现消息转发和处理。下面是该配置文件的具体信息: # Log all kernel messages to the console.# Logging much e
subversion的操作日志保存在哪个文件中_rsyslogd配置文件格式及其内容详解
weixin_39929721的博客
12-06 384
rsyslogd 服务是依赖其配置文件 /etc/rsyslog.conf 来确定哪个服务的什么等级的日志信息会被记录在哪个位置的。也就是说,日志服务的配置文件中主要定义了服务的名称、日志等级和日志记录位置。/etc/rsyslog.conf配置文件的格式该配置文件的基本格式如下所示:authpriv.* /var/log/secure#服务名称[连接符号]日志等级 日志记录位置#认证相...
rsyslogd 详解
01-31
配置文件通常位于/etc/rsyslog.conf或/etc/rsyslog.d/目录下,可以通过编辑这些文件来配置rsyslog的行为。常用的命令包括/etc/init.d/rsyslog start(启动rsyslog服务)、/etc/init.d/rsyslog stop(停止rsyslog服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值