rsyslog

目录

配置文件

 MODULES（模块）

 RULES（日志生成规则）

本地日志

rsyslog服务器

mysql

---

配置文件

/etc/rsyslog.conf

       组成：MODULES（模块）、GLOBAL DRICTIVES（全局配置）、RULES（日志生成规则）

om：输出

im：输入

 MODULES（模块）

        格式：$ModLoad 模块名

#### MODULES ####

$ModLoad imjournal # provides access to the systemd journal
#$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark  # provides --MARK-- message capability

# Provides UDP syslog reception
$ModLoad imudp                ####作为日志服务器，监听UDP，514端口
$UDPServerRun 514

# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514

 RULES（日志生成规则）

                格式：facilty.priority     target

       1、facility：设施，从功能或程序上对日志收集进行分类

auth	认证
authpriv	认证授权
cron	计划
daemon	守护进程
kern	内核
lpr	打印信息
mail	邮件
mark	标记
news	新闻
security	安全
user	用户
uucp	cp协议
local0-local7	自定义
syslog	系统日志

      2、 priority：优先级，日志级别（*代表所有级别，none代表没有级别，=代表就此级别，默认此级别以上）

debug	调试、所有（默认关闭）
info	消息
notice	注意
warn	警告
err	错误
crit	蓝色警报
alert	黄色警报
emerg(	红色警报

注意：一般使用notice以上级别

            3、target：输出位置

文件	通常应该位于/var/log目录下；文件路径之前的"-"表示异步写入	/var/log/messages
用户	将信息发送给登录到系统上的用户的终端	:omusrmsg:*
日志服务器	把日志送往指定的服务器主机	:ommysql:主机地址,数据库,用户名,密码
管道	重定向日志到命令	| COMMAND

#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
*.info                                     :ommysql:192.168.60.3,syslog,loguser,logpasswd

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*

---

本地日志

                /var/log/wtmp：当前系统成功登录系统的日志；
                    需要使用last命令查看
                /var/log/btmp：当前系统尝试登录系统失败相关的日志；
                    需要使用lastb命令查看
                    
                    lastlog：显示当前系统上的所有用户最近一次登录系统的时间；
                
                /var/log/dmesg：系统引导过程中的日志信息；
                    也可以使用dmesg命令进行查看；

---

rsyslog服务器

1、服务器端打开监听服务

vim /etc/rsyslog.conf
# Provides UDP syslog reception
$ModLoad imudp                    ####接收UDP
$UDPServerRun 514                 ####监听514端口

# Provides TCP syslog reception
$ModLoad imtcp                    ####接收TCP
$InputTCPServerRun 514            ####监听514端口

[root@3 ~]# systemctl restart rsyslog

2、客户端配置

vim /etc/rsyslog.conf 
#### RULES ####
*.info;mail.none;authpriv.none;cron.none                @192.168.60.3

[root@3 ~]# systemctl restart rsyslog

---

mysql

[root@3 ~]# yum install mariadb
[root@3 ~]# yum install rsyslog-mysql
[root@3 ~]# systemctl start mariadb
[root@3 ~]# mysql -uUSER  -hHOST  -pPASSWORD  < /usr/share/doc/rsyslog-mysql-VERSION/createDB.sql                     运行aql脚本，增加表

[root@3 ~]# mysql                        增加用户名和密码
MariaDB [(none)] > use Syslog;
MariaDB [(Syslog)] > GRANT ALL ON Syslog.* TO 'loguser'@'192.168.60.%' IDENTIFIED BY 'logpasswd';
MariaDB [(Syslog)] > FLUSH PRIVILEGES;

1、配置服务器端

vim /etc/rsyslog.conf
#### MODULES ####
# Provides UDP syslog reception
$ModLoad imudp                    
$UDPServerRun 514                 

# Provides TCP syslog reception
$ModLoad imtcp                    
$InputTCPServerRun 514           

$ModLoad  ommysql                ####加载mysql模块


#### RULES ####
*.info;mail.none;authpriv.none;cron.none 		:ommysql:192.168.60.3,Syslog,loguser,logpasswd


[root@3 ~]# systemctl restart rsyslog

2、配置客户端

vim /etc/rsyslog.conf 
#### RULES ####
*.info;mail.none;authpriv.none;cron.none                @192.168.60.3

[root@3 ~]# systemctl restart rsyslog