rsyslog 日志收集

最新推荐文章于 2024-06-08 07:30:00 发布
最新推荐文章于 2024-06-08 07:30:00 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: 日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eagle89/article/details/107930763
版权

rsyslog 无论在性能还是部署上都优于其它日志收集应用,因系统自带,需要新功能只需要做升级即可,方便部署!

一、Rsyslog特性

  • Multi-threading, high availability
  • TCP, SSL, TLS, RELP
  • MySQL, Redis,Elasticsearch, Oracle and more
  • Filter any part of syslog message
  • Fully configurable output format
  • Encryption and compression transmission
  • Suitable for enterprise-class relay chains

更多rsyslog本身的一些功能介绍,请看我之前写的一个PPT。rsyslog的使用

二、日志收集规划

  • 提前规划日志标准格式、目录,做到日志类型通用、覆盖度广、易处理。

比如:

1

logtime client_ip server_ip domain level http_code url response_time msg

1

27/Apr/2016:15:50:55 1.1.1.1 127.0.0.1 www.elain.org ERROR 499 /elk/rsyslog 0.007 xxxxx

日期也要严格使用统一格式,推荐ISO8601时间格式,日志经过这样规范处理后,无论是在单台上使用awk,cut,sed来查看日志,或是写一些简单实用的日志处理小工具都会比较通用。

当然,如果你非要说不会有单机上去查看日志的情况,那使用纯json格式也是相当不错的,针对ELK来说更是方便,可以直接使用logstash或hangout解析json,反而提高grok的性能。
比如:

1

{"logtime":"value","client_ip":"value","server_ip":"value","domain":"value","level":""value","http_code":"value","url":"value","response_time":""value","msg":"value"}

1

{"logtime":"27/Apr/2016:15:50:55","client_ip":"1.1.1.1","server_ip":"127.0.0.1","domain":"www.elain.org","level":""ERROR","http_code":"499","url":"/elk/rsyslog","response_time":""0.007","msg":"xxxxx"}

当然,你还可以把前面这些固定的字段从json中扔出来,只把msg做成json,但切记,为了方便通用,在日志中使用json格式时不要做多级嵌套,这样大大增加了日志处理的复杂度,且不同日志如果没有明确级数,就搞的不通用了,大大增加了运维复杂度。

  • 使用rsyslog日志收集是尽量保证日志的原始性
    不去做任何处理 ,直接收集入到队列,如kafka、redis,这样做的的好处时,减少日志客户端rsyslog的性能压力,从而不影响所在服务器上正常业务,并且保持原始日志也便于各自业务方处理,自己写的日志自己最熟悉。
  • 日志收集客户端rsyslog 使用守护进程的工具做守护,如supervisor、monit等

三、使用rsyslog收集常见日志配置

  • 单行日志,如nginx app 业务日志等,最常用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

module(load="imfile")    # if you want to tail files
module(load="omkafka")   # lets you send to Kafka

$WorkDirectory /var/lib/rsyslog
$PreserveFQDN on

#nginx access log
input(type="imfile"
      File="/home/work/logs/nginx/*.log"
      Tag="ngx_log_mishop_order"
      PersistStateInterval="1000"
      reopenOnTruncate="on"
      addMetadata="on"
)

template( name="general_log" type="string" string="%hostname% %msg%")

#nginx access log
if ($syslogtag == "ngx_log_mishop_order") then {
    action(
        broker=["c3-b2c-b2cop-efk-kafka01.bj:9092","c3-b2c-b2cop-efk-kafka02.bj:9092","c3-b2c-b2cop-efk-kafka03.bj:9092","c3-b2c-b2cop-efk-kafka04.bj:9092"]
        type="omkafka"
        topic="ngx_log_mishop_order"
        template="general_log"
        confParam=["compression.codec=gzip"]
        partitions.auto="on"
    )
    stop
}
  • 多行日志 如php_slow_log

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

module(load="imfile")    # if you want to tail files
module(load="omkafka")   # lets you send to Kafka

$WorkDirectory /var/lib/rsyslog
$PreserveFQDN on

#php slow log
input(type="imfile"
      File="/home/work/logs/php/php-fpm.log.slow"
      Tag="php_log_slow"
      PersistStateInterval="1000"
      reopenOnTruncate="on"
      addMetadata="on"
      ReadMode="1" #这里是关键,1代表多行日志之间以空格区分
      escapeLF="on"
)

template( name="general_log" type="string" string="%hostname% %msg%")

#php slow log
if ($syslogtag == "php_log_slow") then {
    action(
        broker=["c3-b2c-b2cop-efk-kafka01.bj:9092","c3-b2c-b2cop-efk-kafka02.bj:9092","c3-b2c-b2cop-efk-kafka03.bj:9092","c3-b2c-b2cop-efk-kafka04.bj:9092"]
        type="omkafka"
        topic="php_log_slow"
        template="general_log"
        confParam=["compression.codec=gzip"]
        #errorFile="rsyslog_err.log"
        partitions.auto="on"
    )
    stop
}

ReadMode的具体用法见:
http://www.rsyslog.com/doc/v8-stable/configuration/modules/imfile.html?highlight=readmode

四、使用rsyslog收集日志遇到过的坑

  • 获取主机名问题

如果需要获取主机名时,主机名中带有’.’,如主机名为:www-elain-org-web01.bj
解决方法:在主配置文件rsyslog.conf中添加配置:

1

$PreserveFQDN on
  • rsyslog默认工作目录问题

因rsyslog 默认工作目录是没有设置的,在生成statefile时会无法自动生成
解决方法:在主配置文件rsyslog.conf中添加配置:

1

$WorkDirectory /var/lib/rsyslog
  • 使用logrotate日志切割问题
    很多情况下,我们每台服务器是的日志还是落到本机磁盘上的,在这种情况下,我们通常会使用一些工具来定时切割日志,
    比如使用logrotate,也是我使用中觉得最好用的工具了。我们在使用rsyslog收集时,发现logrotate按小时切割后,rsyslog就不会再发送日志了,通过rsyslog debug和日志文件的观察,发现日志切割后,inode没有改变,但日志文件改变了大小,导致rsyslog无法重新记录iCurrOffs
    解决方法:在子imfile配置中添加配置:
1

reopenOnTruncate="on"

注:此功能要求rsyslog版本在 8.16.0以上
参考:https://github.com/rsyslog/rsyslog/issues/511

 

rsyslog 无论在性能还是部署上都优于其它日志收集应用,因系统自带,需要新功能只需要做升级即可,方便部署!

版本:syslog-8.16.0

download:http://rpms.adiscon.com/v8-stable

因rsyslog 默认工作目录是没有设置的,在生成statefile时会无法自动生成 ,我们需要在主配置文件中添加,也可以添加在子配置文件中

1
2

$WorkDirectory /var/lib/rsyslog
$PreserveFQDN on  #如果需要获取主机名时,主机名中带有’.’,请设置,如主机名为:c1-b2c-shop-web01.bj

以下是收集单行日志示例(nginx access log为例)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

module(load="imfile")    # if you want to tail files
module(load="omkafka")   # lets you send to Kafka

#nginx access log
input(type="imfile"
      File="/home/work/logs/nginx/*.log"
      Tag="ngx_log_shopapi"
      PersistStateInterval="1000"
      reopenOnTruncate=“on”

      addMetadata="on"
)

template( name="general_log" type="string" string="%hostname% %fromhost-ip% %msg%”)

#nginx access log
if ($syslogtag == "ngx_log_shopapi") then {
    action(
        broker=["c3-b2c-b2cop-log-kafka01.bj:9092","c3-b2c-b2cop-log-kafka02.bj:9092","c3-b2c-b2cop-log-kafka03.bj:9092"]
        type="omkafka"
        topic="ngx_log_shopapi"
        template="general_log"
        confParam=["compression.codec=gzip"]
        partitions.auto="on"
              )
    stop
}

注:
reopenOnTruncate=“on” #版本要求8.16.0以上,此配置是为了解决log rotate切割日志后不收集问题
详情见:https://github.com/rsyslog/rsyslog/issues/511

%fromhost-ip #版本要求在8.17.0之后会支持,imfile模块获取主机IP,主要用于docker容器
详情见:https://github.com/rsyslog/rsyslog/issues/545

以下是收集多行日志示例(php slow log为例)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

module(load="imfile")    # if you want to tail files
module(load="omkafka")   # lets you send to Kafka

#php slow log
input(type="imfile"
      File="/home/work/logs/php/php-fpm.log.slow"
      Tag="php_log_slow_v2"
      PersistStateInterval="1000"
      reopenOnTruncate="on"
      addMetadata="on"
      ReadMode="1"
      escapeLF="on"
)

template( name="general_log" type="string" string="%hostname% %fromhost-ip% %msg%")

#php slow log
if ($syslogtag == "php_log_slow_v2") then {
    action(
        broker=["c3-b2c-b2cop-log-kafka01.bj:9092","c3-b2c-b2cop-log-kafka02.bj:9092","c3-b2c-b2cop-log-kafka03.bj:9092"]
        type="omkafka"
        topic="php_log_slow_v2"
        template="general_log"
        confParam=["compression.codec=gzip"]
        #errorFile="rsyslog_err.log"
        partitions.auto="on"
    )
    stop
}

参考文档 :
http://www.rsyslog.com/doc/v8-stable/

jerry-89
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
日志服务器(搭建syslog\rsyslog收集服务)
07-22
日志服务器(搭建syslog\rsyslog收集服务)
rsyslog所有用户日志审计
12-22
rsyslog所有用户日志审计是指通过rsyslog收集和记录所有用户的日志信息,包括普通用户和root用户。这种日志审计可以帮助管理员追踪用户的操作记录,检测潜在的安全威胁和问题。 rsyslog简介 rsyslog是一个开源的...
利用Rsyslog集中收集系统日志和用户操作记录以及相关处理方法
weixin_34392906的博客
06-02 314
相信从事linux服务器运维的筒子们都和我一样,每天都在和各种系统日志、服务日志打交道。这些日志记录了系统或服务每天发生的各种状态。通过观察日志我们可以及时的解决掉很多系统和服务故障。 今天主要写的是利用rsyslog集中收集系统日志和用户操作记录,以及对收集到的日志进行相关处理的方法。例如服务器异常监控和用户行为审计。部署架构:角色:应用服务器、日志汇总服务器...
Linux日志服务rsyslog深度解析(下)
最新发布
博客虽小,世界尽在其中
06-08 1357
本文深入探讨了Linux系统中重要的日志服务工具rsyslog的应用与配置。首先,我们简要介绍了rsyslog在Linux日志管理中的重要地位,以及它如何帮助系统管理员有效地收集、过滤和存储日志信息。接着,文章详细阐述了rsyslog的基本配置方法,包括如何设置日志消息的接收、过滤和转发规则,以满足不同应用场景的需求。 随后,我们深入讲解了rsyslog的远程存储功能,包括如何将日志消息存储到数据库(如MySQL)和消息队列(如Kafka)等远程服务中。在这部分,我们介绍了如何安装必要的驱动模块、配置rsy
rsyslog日志收集
LSB19930706的博客
07-01 445
背景:需要将日志集中收集到数据库 rsyslog为centos自带的服务,现场环境为centos7,自带的rsyslog版本不同,有rsyslog7和rsyslog8,因为rsyslog-mysql驱动包只有rsyslog8有适配,需要将rsyslog7升级到rsyslog8 一、升级rsyslog 下载如下对应的rpm包:http://rpms.adiscon.com/v8-stable/epel-7/x86_64/RPMS/ 升级 rpm -Uvh libestr-0.1.11-1.el7.x
2021-09-17 rsyslog日志收集
weixin_50650586的博客
09-17 562
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片
使用rsyslog收集日志
weixin_34252090的博客
02-14 1204
为什么使用rsyslog?1.他是POSIX-like系统中标准的logging,有些软件,比如haproxy,只使用syslog。所以你不能完全消除它2.通过网络硬件被使用3.它有更复杂的设置,但更多的功能比竞争对手的更好。例如,Elastic Filebeat仍然不能使用inofity4.低内存的使用。5.允许在保存和转发之前更改消...
Rsyslog日志采集
Leader_roncoo的博客
02-21 759
Rsyslog是CentOS6.X自带的一款系统日志工具: 1.支持多线程 2.支持TCP,SSL,TLS,RELP等协议 3.支持将日志写入MySQL, PGSQL, Oracle等多种关系型数据中 4.拥有强大的过滤器,可实现过滤系统信息中的任意部分 5.可以自定义日志输出格式   配置文件相关: [root@monitorelasticsearch-head]# cat /e
Centos8 搭建日志服务器rsyslog+loganalyzer
08-12
CentOS8 搭建日志服务器 rsyslog+loganalyzer CentOS 8 是一个流行的 Linux 发行版...CentOS 8 搭建日志服务器 rsyslog+loganalyzer 是一个功能强大且灵活的日志解决方案,可以满足企业对日志收集、存储和分析的需求。
rsyslog交叉编译打包
08-06
rsyslog是一款强大的系统日志收集和转发工具,广泛应用于Linux环境,用于处理和记录来自不同系统的日志信息。在嵌入式设备或资源有限的系统中,有时我们需要对rsyslog进行交叉编译,以便在目标平台上运行。交叉编译...
CentOS系统日志收集shell 脚本
02-15
本篇将详细介绍如何编写一个利用rsyslog和logrotate工具进行日志收集和归档的shell脚本。 首先,rsyslog是CentOS系统中的一个默认日志管理系统,它负责接收、处理和转发来自不同应用和系统的日志信息。在上述脚本中...
日志采集——rsyslog
ang639
12-19 3850
rsyslog是linux下日志采集和传输系统。 可以直接将日志写到数据库中,通过LogAnalyzer和Cacti显示,可以作为其他日志分析系统的输入源。 架构 消息流:输入模块->预处理模块->主队列->过滤模块(解析)->执行队列->输出模块 可以通过指定不同module的方式对输入、过滤、输出进行定制,也可以使用你自己的Module来扩展。 输入模块   支持文
rsyslog远程日志收集
SONGW2018的博客
08-17 2361
rsyslog远程收集日志
基于Rsyslog日志文件采集办法
千木一枝的博客
01-10 1099
近几年笔者在生产环境中,很多日志处理场景中都适用了Rsyslog,在基于UDP的分布式日志汇聚、日志文件采集方面都有出色的发挥,“The rocket-fast system for log processing” 真不是吹的。在Rsyslog的官方文档中,发现Rsyslog已经提供了文件(imfile)输入方法,毕竟它就在系统中,拿来就用,还选什么 filebeat,logstash。
Linux中阶—日志采集rsyslog(二)
亓荼的博客
04-19 2262
#rsyslog软件定义: rsyslog是多线程、高并发、模块化的日志系统,rsyslog的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。#软件架构如下: Input模块包括imklg、imsock、imfile、imtcp、imudp 等,是消息来源; Queue模块负责消息的存储,从Input传入的未经过滤的消息放在主队列中; Filetr模块处理消息的分析和过滤,rsyslog可以根据消息的任何部分进行过滤; action qu
服务器端filter文件夹,使用rsyslog收集日志
weixin_39856269的博客
08-13 429
为何使用rsyslog?服务器1.他是POSIX-like系统中标准的logging,有些软件,好比haproxy,只使用syslog。因此你不能彻底消除它网络2.经过网络硬件被使用app3.它有更复杂的设置,但更多的功能比竞争对手的更好。例如,Elastic Filebeat仍然不能使用inofity异步4.低内存的使用。async5.容许在保存和转发以前更改消息ide6.相比rsyslog的功...
【Linux】rsyslog日志服务(配置,测试、日志转储)
热门推荐
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
02-14 2万+
Rsyslog的全称是 rocket-fast system for log ,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。 它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。
日志服务rsyslog(定向采集,远程同步)
zhangyu_sing的博客
04-08 839
日志服务rsyslog介绍 采集系统日志,不产生日志 日志管理文件 /var/log/messages 服务信息日志 /var/log/secure 系统登录日志 /var/log/cron 定时任务日志 /var/log/mailog 邮件日志 /var/log/boot.log 系统启动日志 相关配置文件 /etc/rsyslog.conf 日志采集格式 ...
Linux下系统日志管理:rsyslog日志采集、时间同步、timedatectl、journalctl等
Leslie_qlh的博客
07-18 1155
系统日志管理 1.rsyslog rsyslog服务是用来采集系统日志的,其不产生日志,只是起到采集作用(不是日志的生产者,只是日志的搬运工) 2.rsyslog的管理 (1)日志采集通道如下: /var/log/messages 服务信息日志 /var/log/secure 系统登陆日志 /var/log/cron 定时任务日志 /var/log/maillog 邮件日志 ...
ELKstack日志收集分析平台配置全攻略
"这篇文档详述了如何使用ELK(Elasticsearch, Logstash, Kibana)堆栈实现日志收集、分析和展示。通过rsyslog收集系统日志,然后利用Logstash进行过滤和转发至Elasticsearch,接着在Elasticsearch中建立索引,最后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值