rsyslog_learning

最新推荐文章于 2024-04-09 16:42:59 发布
最新推荐文章于 2024-04-09 16:42:59 发布
阅读量430 收藏
点赞数
分类专栏: rsyslog 文章标签: rsyslog log ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blog_liuliang/article/details/80820316
版权

rsyslog系统自带的日志服务

syslogd是Linux下的一个记录日志文件服务。从结构来说,可以理解为这个服务下面有一系列的子服务,例如mail、auth、cron、kern等等,这些子服务对外提供日志记录的功能,而当其它的程序或服务需要记录日志的时候,就可以直接调用这些子服务将日志记录到设定的地方。而配置这整个守护进程以及其子服务的地方就是/etc/syslog.conf这个文件。

rsyslog是syslogd的升级版,目前许多linux发行版已经自带rsyslog来取代syslog,以下为ubuntu16.4为例
rsyslog整体架构

Rsyslog消息流:输入模块——>预处理模块——>主队列——>过滤模块——>执行队列——>输出模块

  • 输入模块: imklg、imsock、imfile,即消息来源
  • 与处理模块:主要解决各种syslog协议实现间的差异
  • 主队列:存储未经过滤的消息
  • 过滤模块:根据需求过滤消息
  • 执行队列:存储过滤好的各个模块的消息
  • 输出模块:omudp 、omtcp、omfile、ommysql
rsyslog配置文件

/etc/rsyslog.conf

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support
$KLogPermitNonKernelFacility on
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$RepeatedMsgReduction on
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog
$WorkDirectory /var/spool/rsyslog
$IncludeConfig /etc/rsyslog.d/*.conf

/etc/rsyslog.d/50-default.conf

auth,authpriv.*         /var/log/auth.log
*.*;auth,authpriv.none      -/var/log/syslog # *.*表示默认所有log都放到syslog
kern.*              -/var/log/kern.log   # - 表示异步输入
mail.*              -/var/log/mail.log    # mail.*表示mail的所有级别都输入mail.log
mail.err            /var/log/mail.err     # mail.err表示err级别的日志输入mail.err
news.crit           /var/log/news/news.crit
news.err            /var/log/news/news.err
news.notice         -/var/log/news/news.notice
*.emerg                                :omusrmsg:*
daemon.*;mail.*;\
    news.err;\
    *.=debug;*.=info;\
    *.=notice;*.=warn   |/dev/xconsole

日志设施
- auth(security), authpriv: 授权和安全相关的消息
- kern: 来自Linux内核的消息
- mail: 由mail子系统产生的消息
- cron: cron守护进程相关的信息
- daemon: 守护进程产生的信息
- news: 网络消息子系统
- lpr: 打印相关的日志信息
- user: 用户进程相关的信息
- local0 to local7: 保留,本地使用
日志级别有(升序)
- debug:包含详细的开发情报的信息,通常只在调试一个程序时使用。
- info:情报信息,正常的系统消息,比如骚扰报告,带宽数据等,不需要处理。
- notice: 不是错误情况,也不需要立即处理。
- warning: 警告信息,不是错误,比如系统磁盘使用了85%等。
- err:错误,不是非常紧急,在一定时间内修复即可。
- crit:重要情况,如硬盘错误,备用连接丢失。
- alert:应该被立即改正的问题,如系统数据库被破坏,ISP连接丢失。
- emerg:紧急情况,需要立即通知技术人员。

自定义模板

模板允许你指定日志信息的格式,可用于生成动态文件名,或在规则中使用。其定义如下所示,其中TEMPLATE_NAME是模板的名字,PROPERTY是rsyslog本身支持的一些属性参数。

$template googlecloudformat, "%rawmsg%\n"
$template googlecloudDailyPerHostLogs,"/mnt/logs/googlecloud.log"

:msg, contains, "googlecloud"  -?googlecloudDailyPerHostLogs;googlecloudformat

定义模板,将包含googlecloud关键字的log,输出到指定的文件内

blog_liuliang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux学习:日志管理
weixin_63123212的博客
05-18 523
日志管理 简介: 日志程序产生的文字类和数字类的信息,是为了统计信息,排查错误。 来源: Liunx系统中的rsyslog程序 rsyslog系统日志的管理 处理日志的进程 1日志 (1)rsyslog:系统专职日志程序,处理大部分的日志记录,系统操作有关的信息,eg:登录信息,程序启动关闭信息 (2)httpd//nginx/mysql:各类应用程序,可以以自己的方式记录日志,讲解对应的程序时会逐步介绍。 查看rsyslogd程序rsyslogd中的d是指程序) (2)常见的
linux命令.. logs,如何在linux中停止命令的日志rsyslog)?
weixin_33204898的博客
04-29 1511
I am using Linux system, when I run any command the command are getting logged, but not having root permissions I get following errors in my commands我正在使用Linux系統,當我運行任何命令時,命令被記錄,但沒有root權限我在命令中遇到錯誤VD P...
linux的日志服务器关于屏蔽一些关键字的方法
weixin_33757911的博客
01-06 1000
最近接触了日志服务器,是由rsyslog+loganalyzer搭建 ,至于搭建过程,可以在网上搜索,很多帖子。 至于在使用的过程中出现问题: 1:客户端的需要在rsyslog.conf里添加*.* @IP:port或者*.* @IP。 2:如何屏蔽关键字?去掉不需要的关键字呢?查看官网之后:在客户端rsyslog.conf里添加如下 :msg...
syslog日志过滤规则和转发配置
互联网知识分享
12-11 786
当配置syslog日志过滤规则时,可以根据不同的设备或应用程序日志消息的严重程度以及产生日志的主机名称等条件进行过滤。例如,对于安全相关的日志,可以将auth、authpriv等设施的日志消息设置为较高的严重程度,以便及时发现和处理安全事件。总的来说,syslog提供了丰富的日志过滤规则和转发配置选项,可以根据实际需求对日志进行灵活的管理和处理。在以上示例中,使用了不同的转发规则对日志进行了传输和处理,可以根据实际需求来配置不同的转发规则,例如将日志发送到远程服务器、写入本地文件或执行特定的命令等。
Linux rsyslog过滤规则
FaceThePast的博客
03-07 3510
/etc/rsyslog.conf 是rsyslog服务的总配置文件 /etc/rsyslog.d 该目录是单独配置的rsyslog配置文件 vim /etc/rsyslog.conf $IncludeConfig /etc/rsyslog.d/*.conf 个人建议,将所有的rule都配置在该目录下,在/etc/rsyslog.conf中不写rule 配置文件/etc/rsyslog.conf主要有3个部分 MODULES :模块 GLOBAL DRICTIVES :全局设置 ..
rsyslog过滤关键字
神棍之路
04-21 1699
rsyslog过滤关键字 v8 :rawmsg, isequal, "keyword" stop service rsyslog restart v7 单条 :msg, !contains, "keyword" /var/log/cron 多条 :msg, contains, "keyword" ~ :msg, contains, "keyword" ~ cron.* /var/log/cron
rsyslog_loganlyzer
11-24
`rsyslog` 和 `loganalyzer` 是两个非常重要的工具,它们分别用于收集和分析系统日志。下面将详细介绍这两个工具以及如何配置它们来建立一个有效的Linux日志服务器。 **rsyslog** `rsyslog` 是一个开源的、强大的...
rsyslog_liblognorm_rulebase:rsyslog 中 liblognorm 和 mmnormalize 的规则库
06-25
Rsyslog 和 omelasticsearch 请参阅: : omelasticsearch 参数: server - Elasticsearch 服务器的主机名或 IP 地址。 默认为“本地主机” serverport - 连接到 Elasticsearch 的 HTTP 端口。 默认为 9200 ...
rsyslog安装包适合centos6
09-22
RSYSLOG_SyslogProtocol23Format # 发送所有日志到远程服务器 *.* /var/log/messages # 所有日志到本地文件 ``` **启动和管理rsyslog服务** 安装完成后,可以通过以下命令启动、停止或重启rsyslog服务: ```bash ...
rsyslog交叉编译打包
08-06
rsyslog是一款强大的系统日志收集和转发工具,广泛应用于Linux环境,用于处理和记录来自不同系统的日志信息。在嵌入式设备或资源有限的系统中,有时我们需要对rsyslog进行交叉编译,以便在目标平台上运行。交叉编译...
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS单向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议单向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
rsyslog-docker:rsyslog docker容器
05-23
rsyslog-docker rsyslog docker任务的游乐场-尚无生产另请参见 码头工人目前使用多个容器。高山Linux 我们打算将alpine linux用于日志记录设备容器,因为它体积小,安全并且相对较新。 现在,高山错过了我们需要的...
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS双向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议双向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
rsyslog所有用户日志审计
12-22
rsyslog所有用户日志审计 rsyslog所有用户日志审计是指通过rsyslog来收集和记录所有用户的日志信息,包括普通用户和root用户。这种日志审计可以帮助管理员追踪用户的操作记录,检测潜在的安全威胁和问题。 rsyslog...
rsyslog系列】rsyslog远程接收日志服务器配置文件之UDP/TCP协议
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的UDP/TCP协议传输场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
linux日志机制syslogd总结
weixin_33939843的博客
11-14 551
引用自:http://blog.chinaunix.net/uid-26675482-id-3130583.html 守护进程日志的实现 syslogd守护进程用于解决守护进程的日志记录问题,而日志信息保存的位置和记录的信息级别是在syslogd守护进程的配置文件中设定的。守护进程 日志主要涉及3个函数,分别是openlog、syslog和closelog函数。表8.4所示为这3个函数的具体信...
详解rsyslog/Python/LogAnalyzer 记录和查看服务端/客户端日志
fishmai的专栏
07-06 8159
服务端和客户端所有信息通过独立日志系统记录可以使用单独的服务器存储和管理,实现权限分离,增强生产服务器的安全性,使用通用的格式方便分析日志,所有日志统一处理,客户端可以直接和日志服务器对话。 RSYSLOG 是一个高效的日志系统,也是目前 Ubuntu 和 CentOS 默认使用的日志系统。 LogAnalyzer 是一个 PHP 写成的 Web 前端,使用它可以分析和查看 R
系统日志过滤
weixin_47461537的博客
09-01 1340
通常情况下,我们并不是所有的日志都要收集,比如我们只需要error以下级别的日志、或者我们需要包含特定内容的日志,因此可以对日志进行过滤和筛选
Centos7.9 rsyslog服务新增日志过滤
最新发布
wyx的博客
04-09 258
我们有台服务器中/var/log/messages会毫秒级打印关于qemu-ga的日志,需要在rsyslog.conf里面将关于qemu-ga的日志重定向到/var/log/qemu-ga.log,并且不在/var/log/messages中打印。
在v8-stable以上rsyslog.conf中将下述内容转化成新语法 $template NetworkDeviceLog,"/var/log/%fromhost-ip%/%PROGRAMNAME%.log" if $fromhost-ip == '192.168.1.1' and $syslogfacility-text == 'local7' then ?NetworkDeviceLog;RSYSLOG_MYSQL_1 if $fromhost-ip == '192.168.1.2' and $syslogfacility-text == 'local7' then ?NetworkDeviceLog;RSYSLOG_MYSQL_2 $template NetworkDeviceLog,"/var/log/%fromhost-ip%/%PROGRAMNAME%-%$year%-%$month%-%$day%.log"
06-11
在 v8-stable 以上的 rsyslog.conf 中,可以将上述内容转化成新语法,具体如下: ``` template(name="NetworkDeviceLog" type="string" string="/var/log/%fromhost-ip%/%PROGRAMNAME%.log") if $fromhost-ip == '192.168.1.1' and $syslogfacility-text == 'local7' then { action(type="omfile" template="NetworkDeviceLog" fileCreateMode="0644" fileOwner="root" fileGroup="root" dirCreateMode="0755" dirOwner="root" dirGroup="root" dirOwnerFromFilename="on" dirGroupFromFilename="on" dirCreateModeFromFilename="on" fileCreateModeFromFilename="on" fileDiscardInterval="10" flushOnTXEnd="on" flushInterval="30" flushOnTXEndTimeout="5000" dirGroup="root" dirGroupFromFilename="on" dirCreateModeFromFilename="on" fileDiscardInterval="10" flushOnTXEnd="on" flushInterval="30" flushOnTXEndTimeout="5000") action(type="ommysql" server="localhost" serverport="3306" db="RSYSLOG_MYSQL_1" dbuser="root" dbpassword="password" template="RSYSLOG_MYSQL_1" sql="INSERT INTO NetworkDeviceLog (timegenerated, fromhost, programname, message) VALUES (FROM_UNIXTIME(:timegenerated), :fromhost-ip, :programname, :msg)") } if $fromhost-ip == '192.168.1.2' and $syslogfacility-text == 'local7' then { action(type="omfile" template="NetworkDeviceLog" fileCreateMode="0644" fileOwner="root" fileGroup="root" dirCreateMode="0755" dirOwner="root" dirGroup="root" dirOwnerFromFilename="on" dirGroupFromFilename="on" dirCreateModeFromFilename="on" fileCreateModeFromFilename="on" fileDiscardInterval="10" flushOnTXEnd="on" flushInterval="30" flushOnTXEndTimeout="5000" dirGroup="root" dirGroupFromFilename="on" dirCreateModeFromFilename="on" fileDiscardInterval="10" flushOnTXEnd="on" flushInterval="30" flushOnTXEndTimeout="5000") action(type="ommysql" server="localhost" serverport="3306" db="RSYSLOG_MYSQL_2" dbuser="root" dbpassword="password" template="RSYSLOG_MYSQL_2" sql="INSERT INTO NetworkDeviceLog (timegenerated, fromhost, programname, message) VALUES (FROM_UNIXTIME(:timegenerated), :fromhost-ip, :programname, :msg)") } template(name="NetworkDeviceLog" type="string" string="/var/log/%fromhost-ip%/%PROGRAMNAME%-%$year%-%$month%-%$day%.log") ``` 上述配置中,我们使用了 template 指令来定义模板,分别命名为 NetworkDeviceLog,并使用 type 和 string 参数来指定模板类型和模板字符串。 然后,我们使用 if 指令来进行条件过滤,根据来源 IP 和 syslog facility 过滤出需要处理的日志,并使用 action 指令将日志保存到指定的文件和 mysql 数据库中的指定库和表中。 在保存日志到文件时,我们使用了 action 指令的 type 参数指定为 omfile,并使用 template 参数来指定使用的模板名称,同时还可以设置文件权限、拥有者、组等信息,以及自动创建目录和文件、自动清理文件等功能。 在保存日志到 mysql 数据库时,我们使用了 action 指令的 type 参数指定为 ommysql,并设置了 mysql 服务器的地址、端口、数据库名称、用户名和密码,以及要执行的 SQL 语句,并使用 template 参数指定了模板名称。 最后,我们再次使用 template 指令来定义模板 NetworkDeviceLog,使用 type 和 string 参数指定模板类型和模板字符串,以实现按日保存日志的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值