【syslog】搭建日志服务器

已于 2022-10-24 17:21:12 修改
阅读量3.4k 收藏 5
点赞数
文章标签: 1024程序员节
于 2022-10-24 17:16:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yohann17/article/details/127496663
版权

搭建日志服务器

1、安装rsyslog

yum install -y rsyslog

2、修改rsyslog.conf配置文件

/etc/rsyslog.conf

# rsyslog configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES ####

# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark  # provides --MARK-- message capability

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 513


#### GLOBAL DIRECTIVES ####
template(name="DynFile" type="string" string="/var/log/system-%HOSTNAME%.log")

# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on

# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf

# Turn off message reception via local log socket;
# local messages are retrieved through imjournal now.
$OmitLocalLogging on

# File to store the position in the journal
$IMJournalStateFile imjournal.state


#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log


# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList   # run asynchronously
#$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###

3、重启rsyslog

systemctl restart rsyslog

输入systemctl status rsyslog,确保出现以下画面(active (running)):

[root@10-18-93-115 ccs]# systemctl status rsyslog
● rsyslog.service - System Logging Service
   Loaded: loaded (/usr/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
   Active: active (running) since 四 2022-09-08 14:19:59 CST; 1h 1min ago
     Docs: man:rsyslogd(8)
           http://www.rsyslog.com/doc/
 Main PID: 12668 (rsyslogd)
    Tasks: 9
   Memory: 1.4M
   CGroup: /system.slice/rsyslog.service
           └─12668 /usr/sbin/rsyslogd -n

9月 08 14:19:59 10-18-93-115 systemd[1]: Starting System Logging Service...
9月 08 14:19:59 10-18-93-115 rsyslogd[12668]:  [origin software="rsyslogd" swVersion="8.24.0-57.el7_9.1" x-pid="12668" x-info="http://www.rsyslog.com"] start
9月 08 14:19:59 10-18-93-115 systemd[1]: Started System Logging Service.

4、SpringBoot下配置

注:
以下是我项目中的实际使用方式

4.1、导入maven包

        <!-- logback -->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
            <version>1.7.30</version>
        </dependency>
        <dependency>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-core</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-classic</artifactId>
            <version>1.2.3</version>
        </dependency>

        <dependency>
            <groupId>org.graylog2</groupId>
            <artifactId>syslog4j</artifactId>
            <version>0.9.60</version>
        </dependency>

4.2、新建三个java工具类

SyslogClientUtils.java

package com.viewsources.ccs.server.syslog;

import lombok.Data;
import org.graylog2.syslog4j.Syslog;
import org.graylog2.syslog4j.SyslogConstants;
import org.graylog2.syslog4j.SyslogIF;

/**
 * 转发工具类
 *
 * @author Yohann
 * @since 2021-12-1 17:08:34
 */
@Data
public class SyslogClientUtils {

    private String host;
    private int port;
    private String protocolType;

    private static SyslogIF syslog;
    private volatile static SyslogClientUtils instance;

    private SyslogClientUtils(String host, int port, String protocolType) {
        if ("UDP".equals(protocolType)) {
            syslog = Syslog.getInstance(SyslogConstants.UDP);
        } else {
            syslog = Syslog.getInstance(SyslogConstants.TCP);
        }
        syslog.getConfig().setHost(host);
        syslog.getConfig().setPort(port);
        this.host = host;
        this.port = port;
        this.protocolType = protocolType;
    }

    public static SyslogClientUtils getInstance(String newHost, int newPort, String newProtocolType) {
        if (instance == null || !newHost.equals(instance.getHost()) || newPort != instance.port || !newProtocolType.equals(instance.getProtocolType())) {
            synchronized (SyslogClientUtils.class) {
                if (instance == null || !newHost.equals(instance.getHost()) || newPort != instance.getPort()) {
                    instance = new SyslogClientUtils(newHost, newPort, newProtocolType);
                }
            }
        }
        return instance;
    }

    public void send(String info) {
        syslog.log(0, info);
    }
}

TcpUdpSyslogAppender.java:

package com.viewsources.ccs.server.syslog;

import ch.qos.logback.classic.net.SyslogAppender;
import ch.qos.logback.core.net.SyslogOutputStream;

import java.net.SocketException;
import java.net.UnknownHostException;

/**
 * 自定义 logback syslog appender
 * @author Yohann
 */
public class TcpUdpSyslogAppender extends SyslogAppender {

    private String protocolType;

    public String getProtocolType() {
        return protocolType;
    }

    public void setProtocolType(String protocolType) {
        this.protocolType = protocolType;
    }
    @Override
    public SyslogOutputStream createOutputStream() throws SocketException, UnknownHostException {
        return new TcpUdpSyslogOutputStream(getSyslogHost(), getPort(),protocolType);
    }

}

TcpUdpSyslogOutputStream.java:

package com.viewsources.ccs.server.syslog;

import ch.qos.logback.core.net.SyslogOutputStream;

import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.net.SocketException;
import java.net.UnknownHostException;

/**
 * @author Yohann
 */
public class TcpUdpSyslogOutputStream extends SyslogOutputStream {

    private final String ip;
    private final String protocolType;
    private final int port;
    private final ByteArrayOutputStream baos;

    public TcpUdpSyslogOutputStream(String ip, int port, String protocolType) throws UnknownHostException, SocketException {
        super(ip, port);
        this.ip = ip;
        this.port = port;
        this.protocolType = protocolType;
        this.baos = new ByteArrayOutputStream();
    }


    private static final int MAX_LEN = 1024;

    @Override
    public void write(byte[] byteArray, int offset, int len) throws IOException {
        baos.write(byteArray, offset, len);
    }

    @Override
    public void flush() throws IOException {
        byte[] bytes = baos.toByteArray();
        // clean up for next round
        baos.reset();

        // after a failure, it can happen that bytes.length is zero
        // in that case, there is no point in sending out an empty message/
        if (bytes.length == 0) {
            return;
        }
        SyslogClient.getInstance(ip,port,protocolType).send(new String(bytes));
    }

    @Override
    public int getPort() {
        return port;
    }

    @Override
    public void write(int b) throws IOException {
        baos.write(b);
    }

}

4.3、是否开启日志转发

    /**
     * 更新Syslog设置
     *
     * @param jsonStr
     */
    private void updateSysLogSetting(String jsonStr) {
        ResSysLogSetting setting = JSONUtil.toBean(jsonStr, ResSysLogSetting.class);
        if (setting.getStatus()) {
            // 开启日志转发
            if (setting.getLogType().contains(SYSTEM_LOG.getCode())) {
                // 转发系统日志
                startSyslogAppender("10.18.93.115", 514, "UDP");
            }
        } else {
            // 关闭日志转发
            stopSyslogAppender();
        }
    }

    private void stopSyslogAppender() {
        LoggerContext loggerContext = (LoggerContext) LoggerFactory.getILoggerFactory();
        ch.qos.logback.classic.Logger root = loggerContext.getLogger(ch.qos.logback.classic.Logger.ROOT_LOGGER_NAME);
        Iterator<Appender<ILoggingEvent>> it = root.iteratorForAppenders();
        Appender<ILoggingEvent> toRemoved = null;
        while (it.hasNext()) {
            Appender<ILoggingEvent> appender = it.next();
            if (appender instanceof TcpUdpSyslogAppender) {
                toRemoved = appender;
            }
        }
        root.detachAppender(toRemoved);
    }

    private void startSyslogAppender(String ip, int port, String protocol) {
        LoggerContext loggerContext = (LoggerContext) LoggerFactory.getILoggerFactory();
        ch.qos.logback.classic.Logger root = loggerContext.getLogger(ch.qos.logback.classic.Logger.ROOT_LOGGER_NAME);
        Iterator<Appender<ILoggingEvent>> it = root.iteratorForAppenders();

        String newAppenderName = buildAppenderName(ip, port, protocol);

        Appender<ILoggingEvent> old = null;
        while (it.hasNext()) {
            Appender<ILoggingEvent> appender = it.next();
            if (appender instanceof TcpUdpSyslogAppender) {
                old = appender;
            }
        }
        if (old != null) {
            if (old.getName().equals(newAppenderName)) {
                // 新旧一致则不改动
                return;
            }
            old.stop();
            root.detachAppender(old);
        }
        // 添加并启动新的
        TcpUdpSyslogAppender syslogAppender = new TcpUdpSyslogAppender();
        syslogAppender.setSyslogHost(ip);
        syslogAppender.setPort(port);
        syslogAppender.setName(newAppenderName);
        syslogAppender.setProtocolType(protocol);
        syslogAppender.setContext(root.getLoggerContext());
        syslogAppender.setFacility("LOCAL7");
        syslogAppender.start();
        root.addAppender(syslogAppender);
    }

    private String buildAppenderName(String ip, int port, String type) {
        return "syslogAppender:" + ip + ":" + port + ":" + type;
    }

4.4、转发mysql中的登录或操作日志

使用示例:

SyslogClientUtils udp = SyslogClientUtils.getInstance("10.18.93.115", 514, "UDP");
while (true){
  udp.send("helppppppppppppppppppppppppppppp");
  Thread.sleep(1000);
}

在添加操作日志或登录日志接口加上此代码:

    @Override
    @Async
    public void addOperationLog(Caller caller, String operatorContext, String operatorObject, int operatorState) {
        addOperationLog(caller.getUserId(), caller.getLoginIp(), caller.getTenantId(), caller.getLoginUa(),
                operatorContext, operatorObject, operatorState, LocalDateTime.now());
        // 根据系统设置是否发送操作日志到syslog
        SysValue syslogSetting = sysValueService.getOne(new LambdaQueryWrapper<SysValue>().eq(SysValue::getKeyParam, SYSLOG_SETTING));
        if (syslogSetting != null) {
            if (StringUtils.isNotBlank(syslogSetting.getValueParam())) {
                ResSysLogSetting sysLogSetting = JSONUtil.toBean(syslogSetting.getValueParam(), ResSysLogSetting.class);
                if (sysLogSetting.getStatus()) {
                    if (sysLogSetting.getLogType().contains(OPERATION_LOG.getCode())) {
                        // 发送到syslog
                        SyslogClientUtils.getInstance("10.18.93.115", 514, "UDP").send(operatorContext);
                    }
                }
            }
        }
    }
Yohann*
关注
syslog日志服务器安装及配置详解,本地亲测,很实用
04-10
syslog日志服务器配置在以下系统上实验成功:  Linux 系统 (Redhat5.X、Cent OS 6、Fedora 6)  Unix 系统 (SUN Solaris 10、AIX 6.1、HP-UNIX)  Windows 系统 (Window XP/server)  网络设备 (Cisco2950/华三S2126)
windows,syslog服务器搭建
01-24
syslog服务器搭建
在centos上搭建syslog服务端
最新发布
qq_45742976的博客
09-10 837
现在,客户端应该开始将日志转发到syslog服务器服务器将接收到的日志保存在/var/log/syslog/目录下,按不同的客户端和服务分类。所有的日志事件都会按照RSYSLOG_TraditionalFileFormat指定的格式输出到。在CentOS上搭建一个syslog服务器,可以使用。
服务器系统rsyslog日志服务器适配手册
hzb1688007的专栏
02-04 1084
系统日志Syslog)协议是在一个IP网络中转发系统日志信息的标准,它是在美国加州大学伯克利软件分布研究中心(BSD)的TCP/IP系统实施中开发的,目前已成为工业标准协议,可用它记录设备的日志。由于syslog简单而灵活的特性,syslog不再仅限于Unix类主机的日志记录,任何需要记录和发送日志的场景,都可能会使用syslog。以root用户在系统的“配置管理工具”中单击“添加”以添加对应的软件包或依赖包,在软件包添加完成后,通过对软件自签名的型式,完成软件相关信息的填写。
日志服务器
weixin_33896069的博客
10-30 171
配置linux syslog日志服务器 目前,linux依旧使用syslogd作为日志监控进程,而在主流的linux发行版中依旧使用syslog这个比较老的日志服务器套件。对syslog进行必要的配置能减少很多麻烦,并且可更有效的从系统日志监控到系统的状态。理解并完善一个syslog的配置,对于系统管理员来说显得尤为重要。一、配置文件以红旗DC Server 5.0为例,默认...
搭建syslog日志服务器
热门推荐
煜铭2011
04-23 3万+
为了方便日志监控并防止日志被篡改,通常工作环境中会使用rsyslog架设日服务器用于存放其它服务器日志。rsyslog支持日志的远程发送和接收。
Linux搭建syslog日志服务器
gcl_1710的博客
03-08 2458
快速搭建syslog日志服务器
Linux syslog日志服务器架设攻略
软体疯子专栏
10-30 5375
作者:华江从目前的情况来看,Syslog(系统日志)这一历史悠久的日志系统仍旧占据着最主流的地位。由于与类 UNIX平台之间的渊源,Syslog是在实际应用环境中最容易获得的日志系统。 同时,还有很多的基于Syslog的扩展产品存在,这其中也包括大量基于UNIX平台构建内核的网络硬件设备,这些设备往往都内置了Syslog功能支持,例如Cisco路由器就是如此。 一、 配置syslog守护进程   
Syslog】用Python搭建一个Syslog服务器
qq_59256973的博客
02-01 2319
在命令行进入到文件相应目录然后执行syslogtools.py,生成的.log文件效果如图,由于平台还在测试阶段,所以有内容就行,具体是什么不用太在意。5.手打的朋友注意缩进,为了方便在虚拟机上只装了Python的IDEL和pip,然后空格和tab出现了问题检查不出来,要ctrl+c/v上一行再加tab才ok。新建txt文件,然后把下面内容放进去,文件名改成EICAR.COM,文件类型保存为所有文件,ps:用来检测杀毒软件是否有效的一个小方法,不是真的病毒哦~
SYSLOG日志服务器
12-20
该工具在windows下运行;目前支持修改服务器端口,基于ip地址或者内容过滤结果,过滤支持正则表达式,支持按时间排序。 若有问题或需求,请联系我们,谢谢! 特别说明:该工具依赖winpcap
syslog服务器
02-24
一款windows下的syslog服务器,保证网络连通性,即可上传网络设备的syslog
syslog-搭建日志服务器.docx
06-25
安装过程 1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe,弹出安装界面,点击"I agree" 2、选择安装模式为"Install Kiwi Syslog Server as a service",两者的区别是,前者可以在关闭软件主界面后仍然能记录日志,后者只能瞬时记录日志 syslog-搭建日志服务器全文共11页,当前为第1页。 syslog-搭建日志服务器全文共11页,当前为第1页。 3、选择安装的用户,本地系统账户还是一个管理员的账户 4、勾选"Install Kiwi Syslog Web Access"(可以不勾选),因为他提示了此功能只限注册用户使用、 syslog-搭建日志服务器全文共11页,当前为第2页。5、选择安装的组件 syslog-搭建日志服务器全文共11页,当前为第2页。 6、选择安装的路径 syslog-搭建日志服务器全文共11页,当前为第3页。7、若第四步中没有勾选安装Kiwi Syslog Web Access,则会提示安装成功,若勾选了,则会提示安装Kiwi Syslog Web
syslog搭建日志服务器[归纳].pdf
10-12
syslog 搭建日志服务器 Syslog 是一种常用的日志记录协议,用于收集和存储来自不同设备和应用程序的日志信息。在本文中,我们将详细介绍如何搭建一个 syslog 日志服务器,包括安装 Kiwi Syslog Server、配置日志...
syslog-搭建日志服务器.doc
06-07
**syslog 搭建日志服务器** syslog 是一种广泛使用的日志协议,用于在网络设备、操作系统和其他软件中收集和传输日志信息。本文档将详细介绍如何搭建一个基于 Kiwi Syslog Server 的日志服务器,并提供不同平台的...
Kiwi-Syslog日志服务器搭建.doc
06-07
运行软件: 至此,windows下syslog搭建好,接下来是Linux配置syslog服务器。 6. CentOS配置rsyslog客户端远程记录日志: 1. 安装Rsyslog守护进程: # rpm -qa " grep rsyslog # rsyslogd –v 若rsyslog守护进程没有...
日志服务器搭建.docx
09-17
四、Syslog 搭建日志服务器 Syslog 是一种广泛使用的日志协议,能够将各种系统和应用日志集中发送到中央日志服务器进行存储和分析。搭建 Syslog 日志服务器需要进行以下步骤: 1. 准备硬件环境:需要准备一台具有...
Syslog服务器搭建
04-01
Syslog服务器是一种用于接收、存储和分析系统日志的软件。以下是搭建Syslog服务器的步骤: 1. 安装Syslog服务器软件。常用的Syslog服务器软件有rsyslogsyslog-ng等。具体安装方法可以根据操作系统和软件版本进行搜索。 2. 配置Syslog服务器。在配置文件中指定Syslog服务器要监听的端口和存储日志的路径等参数。 3. 配置客户端设备。将客户端设备的Syslog输出配置为Syslog服务器的IP地址和端口号。具体方法可以根据设备型号和操作系统进行搜索。 4. 测试Syslog服务器。通过向客户端设备发送测试日志,检查Syslog服务器是否能够正确接收、存储和显示日志信息。 5. 配置日志分析工具。将Syslog服务器日志信息导入到日志分析工具中,进行日志分析和监控。 注意事项: 1. Syslog服务器需要安装在可靠的、稳定的服务器上,以确保日志信息的安全和可靠。 2. Syslog服务器需要定期备份,并设置自动删除机制,以防止日志文件过大导致服务器磁盘空间不足。 3. Syslog服务器需要配置防火墙规则,以确保只有经过授权的客户端设备能够向其发送日志信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yohann*

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值