一个被忽略的日志采集框架Rsyslog

于 2024-05-18 21:55:30 发布
阅读量768 收藏 18
点赞数 23
分类专栏: 理论与实践 文章标签: elk clickhouse mysql kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bhl120/article/details/139031886
版权

      说起日志采集框架,大家动辄使用Logstash和Fluentd, 却忽略了Linux系统内置的日志框架Rsyslog,而且日常大家的应用服务都是部署在Linux服务器,可以减少三方组件的依赖。接下来首先对比一下各日志框架,并讲解一下Rsyslog的部署和配置方法:

      Rsyslog、Logstash、Fluentd、Graylog、Splunk、Filebeat和Metricbeat都是日志管理和分析工具,各自有其独特的优势。下面是Rsyslog与这些工具的比较:
Rsyslog:
轻量级:Rsyslog是原生的Linux服务,不需要额外的依赖,因此在资源消耗上相对较低。
广泛支持:大多数Linux发行版默认支持,配置简单,适合快速部署。
模块化:支持插件系统,可以通过添加模块扩展功能,如发送到Kafka或MySQL。
实时性:能够处理大量日志消息,每秒处理百万级别的消息。
灵活性:通过模板和规则可以灵活配置日志路由和格式。
Logstash:
强大处理:提供丰富的过滤和转换能力,适合复杂的日志数据处理。
Elastic Stack集成:与Elasticsearch和Kibana集成,提供强大的搜索和可视化。
社区支持:拥有庞大的社区和众多插件,适用于各种数据源和目标。
事件驱动:通过管道模型处理数据流,可扩展性强。
Fluentd:
简单配置:使用JSON格式配置,易于理解和维护。
容器友好:在容器化环境中表现优秀,常用于Docker和Kubernetes。
插件丰富:支持大量输入和输出插件,适应多种场景。
高效:内存和CPU使用率较低,适合大规模部署。
Graylog:
企业级:提供全面的日志管理、搜索和分析功能,适合企业级部署。
可视化:内置强大的日志分析和可视化界面。
可扩展:支持水平扩展,可以处理大量日志数据。
集成:支持与其他系统集成,如SIEM工具。
Splunk:
商业支持:提供官方支持,有强大的商业功能和服务。
分析能力:强大的日志分析和机器学习功能,适用于安全和性能监控。
可视化:用户友好的界面和强大的仪表板功能。
生态系统:拥有丰富的应用市场,支持各种集成。
Filebeat 和 Metricbeat:
轻量级shippers:专注于收集日志和指标,资源占用低。
易部署:与Elasticsearch和Kibana紧密集成,适合分布式环境。
自动发现:在Kubernetes和Docker环境下可以自动发现容器日志。
每个工具都有其特定的适用场景。Rsyslog在日志收集和基础路由方面表现出色,而Logstash、Fluentd、Graylog和Splunk更侧重于日志的处理、分析和可视化。Filebeat和Metricbeat作为Beats的一部分,专注于轻量级的日志和指标收集。选择哪种工具取决于具体需求,如资源限制、规模、分析复杂度和预算。

一、 Rsyslog安装与部署指南

1. 引言
Rsyslog是一款广泛使用的日志收集系统,它能够从多个源接收日志消息并将其存储在中央位置,便于管理和分析。在这篇博文中,我们将详细介绍如何在Linux系统上安装和配置Rsyslog。
2. 系统要求
确保你的系统是基于Linux的,例如Ubuntu、CentOS或Debian。Rsyslog支持多种Linux发行版。
3. 安装Rsyslog
3.1 Ubuntu/Debian

sudo apt-get update
sudo apt-get install rsyslog

3.2 CentOS/RHE

#
sudo yum install rsyslog

# 使用DNF:

sudo dnf install rsyslog

4. 配置Rsyslog
Rsyslog的配置文件通常位于/etc/rsyslog.conf。打开这个文件并根据你的需求进行编辑。

sudo nano /etc/rsyslog.conf

5. 开启Rsyslog服务

sudo systemctl start rsyslog
# 为了使Rsyslog在系统启动时自动运行,执行:
sudo systemctl enable rsyslog

6. 配置远程日志收集
如果你想让Rsyslog收集远程服务器的日志,你需要在配置文件中启用网络监听,并设置适当的输入和输出模块。例如,启用UDP监听:

$ModLoad imudp
$InputUDPServerRun 514

*.* @remote-server-ip:514

# 重启Rsyslog服务
sudo systemctl restart rsyslog

7. 测试与验证
创建一个测试日志文件并观察Rsyslog是否正确处理它:

echo "Test log message" | logger
sudo cat /var/log/syslog

8. 安全与最佳实践
保护Rsyslog端口,只允许特定IP访问。
定期备份和审核配置文件。
使用SSL/TLS加密传输敏感日志数据。

二、 Rsyslog的日志持久化(Kafka、clickhouse、mysql)

1)  Rsyslog 向 Kafka 发送数据
要配置Rsyslog将日志发送到Kafka,你需要安装omkafka输出模块。以下是基本步骤:
1. 安装omkafka插件:

   sudo apt-get install rsyslog-gnutls # 如果需要SSL/TLS支持
   sudo apt-get install libmsgpackc2-dev # 依赖项
   git clone https://github.com/rsyslog/liblognorm.git
   cd liblognorm
   ./configure && make && sudo make install
   git clone https://github.com/rsyslog/rainer-script-parser.git
   cd rainer-script-parser
   ./autogen.sh
   ./configure && make && sudo make install
   git clone https://github.com/rsyslog/rsyslog-docker.git
   cd rsyslog-docker/omkafka
   ./autogen.sh
   ./configure && make && sudo make install

2. 编辑/etc/rsyslog.conf,添加如下配置:

   $ModLoad omkafka
   $KafkaBroker "localhost:9092"
   $KafkaTopic "syslog"
   *.* @@localhost:9092

3. 重启Rsyslog服务:

 sudo systemctl restart rsyslog

 

2) Rsyslog 向 ClickHouse 发送数据
发送日志到ClickHouse需要一个中间组件,因为Rsyslog不直接支持ClickHouse。一种常见方法是结合使用omstdout模块和一个脚本或工具(如clickhouse-client)来转发数据:
1. 编辑/etc/rsyslog.conf,添加omstdout模块配置:

   $ModLoad omstdout
   local7.* /usr/local/bin/forward-to-clickhouse.sh

2. 创建forward-to-clickhouse.sh脚本,使用ClickHouse客户端将日志插入到表中。

3)   Rsyslog 向 MySQL 发送数据

Rsyslog可以使用ommysql模块直接将日志写入MySQL数据库:
1. 安装ommysql模块:

  sudo apt-get install rsyslog-mmdblookup
   git clone https://github.com/rsyslog/rsyslog-modules.git
   cd rsyslog-modules/ommysql
   ./autogen.sh
   ./configure && make && sudo make install

2. 编辑/etc/rsyslog.conf,添加MySQL配置:

   $ModLoad ommysql
   $ActionOMMySQLServer "localhost"
   $ActionOMMySQLDatabase "syslogs"
   $ActionOMMySQLUser "syslog_user"
   $ActionOMMySQLPassword "syslog_password"
   $ActionOMMySQLTable "syslog_events"
   *.* :ommysql:

3. 重启Rsyslog服务:

 sudo systemctl restart rsyslog

IT 行者
关注
  • 23
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux rsyslog配置远程,使用rsyslog进行远程日志记录的简易教程
weixin_31819459的博客
05-10 1526
你们为什么要记录数据?对于我有两个明确的原因:统计和调试。对于第一种情况,一段时间内无法访问得到数据并不是什么大问题,统计只有在收集很长一段时间后才有意义。但当某台服务器完全故障,服务一个一个不可用,你想马上确定发生了什么,你必须通过ssh访问你的日志,然而服务已经不可用。这时日志记录在远程就很有必要了。我们可以依靠操作系统提供一个方案来解决这个问题。从2004年开始,Rainer Gerhan...
rsyslog远程日志收集
SONGW2018的博客
08-17 2330
rsyslog远程收集日志
远程记录系统日志:深入学习rsyslog
最新发布
pengpeng0121的博客
02-08 1478
到这里,我们的操作基本上就完成了,可以很完全的记录操作的信息,但是,唯一的一个遗憾,就是我通过测试,没能达到好的效果去检测 反弹shell 的操作记录,能够实现通过rsyslog记录,但是缺点就是在通过审计日志记录日志的时候,审计日志(auditd)会调用execve,但是execve。可能会产生大量的日志数据,因为auditd会记录所有的execve调用,包括系统和服务的后台活动。然后,通过测试,发现日志的记录并不完全,我根据需求,想要的是记录到每个用户的操作记录,不管是管理员还是普通用户,类似于;
15、自定义日志文件、远程日志rsyslog)、日志切割(轮转) 、计划任务
2301_79092588的博客
07-31 320
我要自定义一个日志文件,单独存放ssh服务所产生的日志(ssh所产生的日志只能存放在自定义的文件中)vi /etc/rsyslog.conf //进入到主配置文件---->加上local2.*1、/etc/logrotate.conf (决定每个日志文件如何轮转)查看:at -l 、 ls /var/spool/at(一次性计划任务)minsize 1M //最小达到1M才轮转,即到了规定的时间未达到大小不会轮转。logrotate -f ssh(规则文件) //强制轮转。
Clickhousersyslog服务器使用clickhouse列数据库存储日志
星辰大海
01-25 803
遇到错误信息: validate rsyslogd: omclickhouse: we are suspending ourselfs due to server failure 35: error # /etc/rsyslog.d/clickhouse.conf # 添加 usehttps="off" 关闭 https action(type="omclickhouse" server="" port="8123" usehttps="off" template="jsonFormat" errorfil
rsyslog所有用户日志审计
12-22
rsyslog一个开源的日志记录 daemon,用于在 Linux 和 Unix 系统中收集、处理和记录日志信息。rsyslog 可以从多种来源收集日志信息,包括系统日志、应用程序日志和安全日志等。rsyslog 提供了灵活的配置选项,可以...
Centos8 搭建日志服务器rsyslog+loganalyzer
08-12
centos8 搭建rsyslog服务器,接收外部设备发来日志,通过loganalyzer,进行web管理
rsyslog日志转发配置(服务端和客户端)
12-06
linux rsyslog日志转发配置(服务端和客户端),配置日志转发服务,把系统日志转发到其他linux系统
rsyslog日志服务器一键部署脚本
11-11
日志服务rsyslog的一键部署脚本,本人亲测通过,可进入我的主页(博文关键词:rsyslog)查看免费脚本内容,更多免费脚本均在我的博客,主要语言为python、shell
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS单向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议单向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
nginx+rsyslog+kafka+clickhouse+grafana 实现nginx 网关监控
weixin_39660224的博客
12-29 1758
上面都配置完了之后可以先验证下,保证数据最终到ck,如果有问题,需要再每个节点调试,比如先调试nginx->rsyslog ,可以先不配置kafka 输出,配置为console或者文件输出都可以,具体这里就不写了。这里做了一个类型转换,因为nginx,request-time 单位是s,我想最终呈现在grafana 中是ms,所以这里做了转换,当然grafana中也可以做。kafka 相关部署这里不做赘述,只要创建一个topic 就可以。
Clickhouse学习笔记
WHY的博客
11-14 482
Clickhouse学习笔记
ClickHouse系列】ClickHouse集群自动化搭建
一只努力的微服务
03-08 1447
为了测似方便,这里提供一个搭建2shard,2replica的ClickHouse集群的脚本 1.构建ClickHouse基于CentOS7的镜像 官方已经有clickhouse-server的镜像为什么还要自己打一个? 因为官方镜像是为了最小化安装,其中没有vi,ifconfig等等命令不方便调试、测试 Dockerfile FROM centos:7.6.1810 RUN yum -y in...
【Linux】rsyslog日志服务(配置,测试、日志转储)
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
02-14 2万+
Rsyslog的全称是 rocket-fast system for log ,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。 它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。
splunk与syslog建立强大的日志服务器
weixin_33878457的博客
10-12 1046
2019独角兽企业重金招聘Python工程师标准>>> ...
filebeat与rsyslog日志获取简单对比
QQ603785348的博客
11-13 2877
日志代理方案选择 1,简介 日志代理需要部署在客户的机子上,所以不能太大,也不能消耗太多性能,根据需求找了以下几个开源的方案: 名称 开发语言 rpm安装包大小 filebeat golang 22.8m rsyslog c 717kb 这是网上的比较,比较全面: https://www.jianshu.com/p/8384f6cd0f22 2,两种工具的比较 1,file...
使用 ClickHouse 处理离线半结构化日志
为了不折腾而去折腾的那些事
11-11 3135
在《快速上手 ClickHouse》一文中,我们介绍了 ClickHouse 的基础使用。本篇文章里,将介绍如何使用 Clickhouse 快速处理诸如 Nginx 运行日志等半结构化的离线数据,让这些静态数据能够被快速的查询分析。 写在前面 诸如 Nginx 等 Web 服务器、MySQL 等数据库,这类软件在日常运行过程中,都会生产非常多的运行数据,在不进行特别设置的情况下,我们将得到一些有一定格式的纯文本内容,我们一般称之为半结构化内容,比如这样: xxx.xxx.xxx.xxx - - [01/Ja
Hangout with ClickHouse【转载】
热门推荐
tianjinsong的专栏
05-15 3万+
https://www.jianshu.com/p/a104ff60f574 什么是Hangout Hangout可以说是JAVA版的Logstash,可以进行数据收集、分析并且将分析后的结果写入指定的地方项目地址 什么是ClickHouse ClickHouse一个数据分析的数据库,由Yandex开源项目地址 什么是hangout-output-clickhouse hangout-...
基于Rsyslog+Kafka+Flink+Clickhouse的高性能日志采集、分析、汇聚存储方法
千木一枝的博客
01-08 2041
我们要首先解决日志文件存储和分析的问题,鉴于Nginx日志数据量大的特点,我们必须选择一种功效的分析工具(能流式分析更好)和支持大数据量写入的数据库,经过各种Baidu和谷歌,最终定型为:Kafka + Flink + Clickhouse
rsyslog日志转发
05-26
rsyslog一个常用的Linux系统日志管理工具,它可以将系统日志发送到远程服务器或者其他应用程序进行处理和存储。如果你想要将rsyslog日志转发到另一个服务器,请按照以下步骤操作: 1. 编辑rsyslog配置文件:打开rsyslog的配置文件 /etc/rsyslog.conf,找到以下行: ``` # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 ``` 将上面的注释去掉,并将514替换为你想要使用的端口号。 2. 配置rsyslog的转发规则:在配置文件的末尾添加以下行: ``` *.* @@[remote_server_ip]:[port] ``` 其中,remote_server_ip是你想要将日志转发到的远程服务器的IP地址,port是远程服务器上用于接收日志的端口号。 3. 重启rsyslog服务:运行以下命令以重新启动rsyslog服务: ``` sudo systemctl restart rsyslog ``` 现在,rsyslog将会将所有的日志消息转发到指定的远程服务器和端口。你可以在远程服务器上设置其他应用程序来接收和处理这些日志消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT 行者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值