Rsyslog日志格式实例:记录IP地址而非主机名

最新推荐文章于 2024-04-08 08:09:42 发布
最新推荐文章于 2024-04-08 08:09:42 发布
阅读量4.2k 收藏 8
点赞数 1
分类专栏: 日志管理与分析 技术点滴 Linux资源访问与共享 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/McwoLF/article/details/120223350
版权

1.背景

Rsyslog日志平台-日志工作流引擎,中介绍了基于rsyslog日志采集中心的案例。这里rsyslog都是V8.2以上版本。

日志客户(192.168.1.29)将日志发送到日志采集中心(192.168.2.27)的时候,日志中的地址默认是发送日志主机的名称或者IP,但不同的Linux有区别。这样汇聚到rsyslog日志采集中心就会出现无法日志记录中没有IP,如下:

Sep 10 10:13:55 localhost.localdomain mysql [task_output] ,20210910i31083,print.doc,1,2,…

rsyslog使用本机的hostname来记录,网上很多文章介绍了rsyslog解决这个问题的方法。

  1. 修改/etc/hosts文件,增加一条域名记录,然后hostname命令可以看到新的域名(需要重启网络),或者直接hostname {主机名}马上生效(但不能保存),例如下面都是可行的

    hostname mail.test.com
hostname 192.168.1.29

  2. 在配置文件中自定义 L o c a l h o s t n a m e 、 Localhostname、 Localhostnamemyhostname、$PreserveFQDN之类,参见定位 rsyslog v8 的主机名是localhost 问题,但没有成功。

第1种方法勉强可用,但用IP当主机名比较别扭。总归rsyslog默认的日志格式中hostname/ip处理需要更好的处理方法。

2. rsyslog日志格式定义与模板

rsyslog日志的格式定义中是有很多变量或属性参数,http://www.rsyslog.com/doc/v8-stable/configuration/properties.html,可以在日志客户(192.168.1.29)上的/etc/rsyslog.conf中如下定义:

$template recippalette,"<%pri%>%protocol-version% %timestamp::date-rfc3339% 192.168.1.29 %app-name% %msg%\n"
local4.*              /var/log/mysql.log;recippalette
#local4.*             @192.168.2.27:514;recippalette

这里,在模板中直接自己定义了日志的格式,%%中间都是rsyslog变量(MSG属性,如果系统属性是 开 头 , 如 开头,如 year),地址部分默认是%hostname%,为什么不用变量 %fromhost-ip% 是因为它很多时候是’127.0.0.1’,不如直接上真实IP。然后将本机local4.*级别日志全部用recippalette模板就可以实现用真实IP记录日志,也可以发送到日志收集中心。

rsyslog v8支持新格式模板语法和旧格式模板语法,对于简单需求,使用旧格式更加直观吧!

案例中,有的日志是通过logger命令发出的,logger命令是rsyslog的客户端工具之一,配置同样有效。

但是,logger -n 192.168.2.27 …,是直接发到远端,就不会使用本地的配置模板。可以用配置上面最后注释的那一行的方式,不使用-n 参数,在本地先处理一次IP,再自动发送到远端日志服务器192.168.2.27。

3.日志(收集)中心的操作

用来上面的模板后,从日志客户端发送的原始日志就已经带上自己的IP。

在日志收集中心(192.168.2.27)上,还需要对收集的日志进行分目录存储(每个日志客户IP一个目录,并按日期区分),/etc/rsyslog.conf中定义如下:

$template fromRemote,"/home/logdata/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
:fromhost-ip, !isequal, "127.0.0.1" ?fromRemote

# 这里是当日志客户中没有进行IP替换的时候,在日志中心进行统一替换,并转发到其它日志服务设备。
$template relay,"<%pri%>%protocol-version% %timestamp::date-rfc3339% %fromhost-ip% %app-name% %msg%\n"
:fromhost-ip, !isequal, "127.0.0.1" @192.168.0.32:514;relay

#如果不需要处理,直接转发到其它日志服务器
# *.* @192.168.0.32:514

第一部分模板,就是根据日志客户的IP地址(fromhost_ip),自动生成日志目录,按IP和日期,对所有日志客户(非本机)的日志按本模板进行存储。

甚至可以对IP地址按段来定义存储路径
:fromhost-ip, startswith,“192.168.10.” ?fromRemote

第二部分模板,是可以将收集到的日志转发到其它日志服务设备(192.168.0.32),如ELK分析系统,如果所有的日志客户都自己处理好了了IP地址,就直接转发,否则就需要在日志收集中心做一次转换。

根据性能考虑,建议是在日志客户这里自己处理好外发日志的ip问题。

McwoLF
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
rsyslog日志转发配置(服务端和客户端)
12-06
linux rsyslog日志转发配置(服务端和客户端),配置日志转发服务,把系统日志转发到其他linux系统
rsyslog的配置规则语法
xxx
03-01 744
远程日志转发规则指的是确定哪些日志消息应该被转发到远程服务器的规则。这些规则通常基于日志消息的内容、来源、级别等属性进行匹配和过滤。以下是一些常见的远程日志转发规则。
Rsyslog 配置接收Syslog - 轻量化日志存储
Songxwn的博客
02-27 679
基于Rocky LInux 8 搭建,也适用于其他RHEL8-9衍生发行版。注意关闭Selinux和配置防火墙。日志文件存放主目录为 /var/syslog/下,会自动创建发日志主机IP的文件夹,并将日志存放在每天创建的log文件里面。路径格式 /var/log/主机IP地址/主机IP地址_年-月-日.log如:192.168.0.1_2038-02-27.log以文本存储方式便于搜索,但可以按照每台每天的日志全部下载,syslog相对于ELK也更、简单化、占用资源低。
rsyslog 日志格式和输出
trigfj的博客
11-13 2235
rsyslog 日志格式和输出
rsyslog日志格式介绍
weixin_34071713的博客
12-09 787
rsyslog: 日志:历史日志 syslog(服务):syslogd(系统日志)、klogd(内核日志)c/s架构;服务,可监听于某套接字,帮其他主机记录日志信息日志格式 /etc/rsyslog.conf facitlity.priority Target mail.info /var/log/maillog mail.=info...
rSyslog日志
DM的个人练习
07-11 1759
rsyslog
rsyslog日志
weixin_34205826的博客
06-06 177
1、property accessoryRsyslog 预定义了一些属性,系统属性和消息属性,用于定义输出格式、动态文件名。比较重要的属性比如:msg(消息体)、hostname、pri(消息等级和类别)、time(时间有关),以$开头的是从本地系统获得的变量(即前面加上$的要做本地变量字符串替换)、不带$是从消息中获得变量(不带的表示消息中的固有字段)。 %propname(属性名):fromC...
rsyslog所有用户日志审计
12-22
rsyslog 提供了灵活的配置选项,可以根据需要选择日志的输出格式日志级别和日志目标。 sudo日志审计 sudo是一种 Linux 命令,允许普通用户以root权限执行命令。为了审计sudo操作,需要在rsyslog配置文件中添加...
rsyslog日志服务器一键部署脚本
11-11
日志服务rsyslog的一键部署脚本,本人亲测通过,可进入我的主页(博文关键词:rsyslog)查看免费脚本内容,更多免费脚本均在我的博客,主要语言为python、shell
rsyslog-docker:rsyslog docker容器
05-23
这很可能是一项正在进行的活动,因为我们打算始终在日志记录应用程序中提供rsyslog的当前版本,并且阿尔卑斯山似乎永远不会完全遵循它。包构建环境我们用 建立高山包装。 这是基于并且仅添加了一些特定于rsyslog的...
plog:Python写的rsyslog日志服务器服务端
06-04
plogPython写的rsyslog日志服务器服务端使用:配置udp @ tcp@@vi /etc/rsyslog.conf *.* @192.168.1.105:5514保存退出重启rsyslog服务同样也可以接收nginx的syslog模块打过来的日志mysql启动日志/usr/bin/mysqld_...
rsyslog mysql ip_使用rsyslog+loganalzey收集日志显示客户端ip
weixin_33622043的博客
01-19 410
1、数据库修改LogAnalyzer 默认表字段只有一个 FromHost,我们在添加一个 FromIP,用于记录IP地址。mysql> use Syslog;mysql> alter table SystemEvents add FromIP varchar(60) default null after FromHost;2、修改rsyslog.confrsyslog 默认情况下插...
linux rsyslog日志采集格式设定五
z19861216的博客
11-18 674
linux rsyslog日志采集格式设定五
Centos的rsyslog日志系统(五):解析syslog各种标准格式
weixin_38924500的博客
03-08 6328
1.概况 syslog是一种工业标准的协议,可用来记录设备的日志。在UNIX系统,路由器、交换机等网络设备中,系统日志(System Log)记录系统中任何时间发生的大小事件。管理者可以通过查看系统记录,随时掌握系统状况。UNIX的系统日志是通过syslogd这个进程记录系统有关事件记录,也可以记录应用程序运作事件。通过适当的配置,还可以实现运行syslog协议的机器间通信,通过分析这些网络行为日志,藉以追踪掌握与设备和网络有关的状况。 2.syslog协议标准 目前业界存在常见两种syslog日志协议,一
解决rsyslog+loganalyzer不能同时显示IP主机名(原创)
weixin_34310127的博客
04-26 401
环境: ********************* Adiscon LogAnalyzer Version 3.4.3 [root@centos100 ~]# cat /etc/issue CentOS release 5.6 (Final) ********************* 看到标题,可能有些人会不屑,答案无非是新建view,建立DBM...
6.4.2、rsyslogd 配置文件格式及其内容
最新发布
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-08 880
rsyslogd服务依赖配置文件/etc/rsyslog.conf来确定哪个服务的什么等级的日志信息会被记录在哪个位置(日志服务的配置文件中主要定义了服务的名称、日志等级和日志记录位置)。
通过使用rsyslog+LogAnalyzer收集日志时怎样显示客户端IP
jin9xiao的博客
11-17 976
转载自http://blog.sina.com.cn/s/blog_a83ccc6701014wqa.html#commonComment 一、修改主机名 各个系统请自行修改,比如我的centos,就直接使用: [root@localhost ~]# vi /etc/sysconfig/network NETWORKING=yes NETWORKING_IPV6=no HOSTNAME=syslog在这里插入代码片 修改/etc/hosts文件 [root@localhost ~]# vi /etc/ho
NFS故障:Stale NFS file handle的解决一例
热门推荐
三禾工作室
12-09 1万+
故障描述:一台备份一体机设备作为NFS服务端,export了目录/infokit/exportnfs,从其他设备上挂载这个NFS 目录,在NFS服务端和客户端及其上showmount -e 都一起正常,挂载的时候提示“Stale NFS file handle”。 调试过程:在NFS服务端上,export了另外一个目录 /home/share,从其他设备挂载正常,判断问题出在“/infokit/exportnfs”上面 解决方法:/etc/exports文件中,加入fsid=0参数 /infokit
rsyslog日志转发
05-26
rsyslog是一个常用的Linux系统日志管理工具,它可以将系统日志发送到远程服务器或者其他应用程序进行处理和存储。如果你想要将rsyslog日志转发到另一个服务器,请按照以下步骤操作: 1. 编辑rsyslog配置文件:打开rsyslog的配置文件 /etc/rsyslog.conf,找到以下行: ``` # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 ``` 将上面的注释去掉,并将514替换为你想要使用的端口号。 2. 配置rsyslog的转发规则:在配置文件的末尾添加以下行: ``` *.* @@[remote_server_ip]:[port] ``` 其中,remote_server_ip是你想要将日志转发到的远程服务器的IP地址,port是远程服务器上用于接收日志的端口号。 3. 重启rsyslog服务:运行以下命令以重新启动rsyslog服务: ``` sudo systemctl restart rsyslog ``` 现在,rsyslog将会将所有的日志消息转发到指定的远程服务器和端口。你可以在远程服务器上设置其他应用程序来接收和处理这些日志消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值