ELK stack实战之结合rsyslog分析系统日志(auth.log)

最新推荐文章于 2025-03-09 07:15:00 发布
最新推荐文章于 2025-03-09 07:15:00 发布
阅读量9.4k 收藏 1
点赞数 1
分类专栏: # ELKStack 基础与实战 文章标签: elk rsyslog filebeat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gamer_gyt/article/details/52701067
版权

转载请注明出处:http://blog.csdn.net/gamer_gyt
博主微博:http://weibo.com/234654758
Github:https://github.com/thinkgamer

写在前边的话

在之前的文章中我么谈到了ELK stack的部署和简单的小demo,然后我们又看了elk stack结合filebeat做了一个分析,具体可参考下面的链接:
linux 部署ELK 日志分析系统与简单测试
ELK stack实战之Filebeat的架构分析、配置解释与示例

本篇文章我们主要谈一下linux操作系统的rsyslog(syslog),然后结合elk stack做一个分析autho.log(linux自己生成的日志)的demo

syslog与rsyslog

syslog

    首先需要说明的是syslog是一种协议,广泛用于系统日志,syslog系统日志消息可以记录在本地,也可以发送到接受syslog日志的服务器统一进行存储和处理,也可以解析其中的内容做相应的处理。

    常见的应用场景是网络管理工具、安全管理系统、日志审计系统。
    对于老版本的unix操作系统,默认使用syslog,但是在新版本都已经被rsyslog所替代
    老版本的Linux缺省使用Syslog,其配置大致如下所示:

shell> cat /etc/syslog.conf

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
# kern.* /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.
authpriv.* /var/log/secure

# Log all the mail messages in one place.
mail.* -/var/log/maillog

# Log cron stuff
cron.* /var/log/cron

# Everybody gets emergency messages
*.emerg *

# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log
local7.* /var/log/boot.log

    完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或 Level)、时间、主机名或IP、进程名、进程ID和正文。在Unix类操作系统上,能够按Facility和Severity的组合来决定什么样的日志消息是否需要记录,记录到什么地方,是否需要发送到一个接收syslog的服务器等。由于syslog简单而灵活的特性,syslog不再仅限于 Unix类主机的日志记录,任何需要记录和发送日志的场景,都可能会使用syslog。

    这里涉及两个概念:Facility和Severity,中文的意思大致是类型和级别。重点说明两条配置的含义:首先,所有Severity大于等于info的信息都会被保存到「/var/log/messages」中,但是Facility为mail、authpriv、cron的消息例外;其次,所有Facility为mail的消息都会保存到「/var/log/maillog」中,日志文件前面的减号表示的意思是异步写文件。

rsyslog

上边也说了,对于现在的很多发行版都默认采用了rsyslog,rsyslog是syslog的升级版,这里我们看些Facility和Serverity
rsyslog通过Facility概念来定义日志消息的来源,以方便对日志进行分类 ,facility有以下几种

		kern                     内核消息
		user                     用户级消息
		mail                     邮件系统消息
		datemon                  系统服务消息
		auth                     认证系统消息
		syslog                   日志系统本身消息
		lpr                      打印系统消息
		authpriv                 权限系统消息
		corn                     定时任务消息
		news                     新闻系统消息
		uucp                     uucp系统消息
		ftp                      ftp系统消息

除了日志来源以外,对于同一来源产生的日志消息,还进行了优先级的划分,优先级分为以下几种

        Emergency                系统已经不能使用
        Alert                    必须立即进行处理
        Critical                 严重错误
        Error                    错误
        Warning                  警告
        Notice                   正常信息,但是较为重要
        Informational            正常信息
        Debug                    debug信息

案例:rsyslog+ELK分析auth.log

启动/停止/查看rsyslog的状态

在配置rsyslog的机器上执行即可

sudo service rsyslog start
sudo service rsyslog stop
Sudo service rsyslog status
使用系统的logger命令测试rsyslog是否工作

在配置rsyslog的机器上执行即可

Logger hello world

查看/var/log/message

[master@localhost log]$ sudo tail -n 1 messages
Sep 29 23:37:00 localhost master: hello word

测试rsyslog的性能

使用官方提供的 tcpflood
https://github.com/rsyslog/rsyslog/blob/master/tests/tcpflood.c

rsyslog+elk做日志收集

1、服务器两台

192.168.197.129    配置elk            OS:redhat
192.168.197.131    rsyslog客户端  OS:Centos7

2、ELK客户端配置
即129这个服务器
rsyslog.conf

input {
  tcp{
    port => 5514
    type => syslog
  }
  udp{
    port => 5514
    type => syslog
  }
}
output {
  stdout {
    codec=> rubydebug
  }
  elasticsearch {
    hosts => ["192.168.197.129:9200"]
  }
}

启动ELK服务

rsyslog客户端配置

即131这个服务器

sudo vim /etc/rsyslog.conf

找到下边的一段,去掉注释:

# provides UDP syslog reception
# module(load="imudp")
# input(type="imudp" port="5514")

# provides TCP syslog reception
# module(load="imtcp")
# input(type="imtcp" port="5514")

如下:

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="5514")

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="5514")

最后添加一行(elk所在机器的ip和监听的端口)

*.*  @192.168.197.129:5514

重启rsyslog服务

sudo service rsyslog restart

测试

在rsyslog所在客户端执行

logger -p info “hello, remote rsyslog”

部署ELK的服务器终端查看Elasticsearch的输出

这里写图片描述

kibana的web展示界面可以看到

这里写图片描述

当然我们也可以执行一些其他的命令

ssh localhost

输入正确的密码,在终端可以监测到:

这里写图片描述

ssh localhost 输入错误的密码:

这里写图片描述

根据这种情况我们就可以针对登录日志做出相应的分析

这里的logstash中的rsyslog.conf文件也可以这样写

input {
   syslog{
    port => 5514
    type => syslog
  }
}
output {
  stdout {
    codec=> rubydebug
  }
  elasticsearch {
    hosts => ["192.168.197.129:9200"]
  }
}

这个时候在rsyslog的服务器中执行

logger -p info “hello, remote rsyslog”

]

【技术服务】,详情点击查看: https://mp.weixin.qq.com/s/PtX9ukKRBmazAWARprGIAg

扫一扫 关注微信公众号!号主 专注于搜索和推荐系统,尝试使用算法去更好的服务于用户,包括但不局限于机器学习,深度学习,强化学习,自然语言理解,知识图谱,还不定时分享技术,资料,思考等文章!

auth.log日志查看
weixin_34336526的博客
02-08 5644
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux日志服务rsyslog深度解析(下)
博客虽小,世界尽在其中
06-08 2630
本文深入探讨了Linux系统中重要的日志服务工具rsyslog的应用与配置。首先,我们简要介绍了rsyslog在Linux日志管理中的重要地位,以及它如何帮助系统管理员有效地收集、过滤和存储日志信息。接着,文章详细阐述了rsyslog的基本配置方法,包括如何设置日志消息的接收、过滤和转发规则,以满足不同应用场景的需求。 随后,我们深入讲解了rsyslog的远程存储功能,包括如何将日志消息存储到数据库(如MySQL)和消息队列(如Kafka)等远程服务中。在这部分,我们介绍了如何安装必要的驱动模块、配置rsy
ELK5.5+rsyslog+kafka步骤详细说明.rar
07-04
ELK5.5+rsyslog+kafka步骤详细说明.rar
开源免费日志服务ELK Syack代替syslog
学习、研究、分享、推广AI及IT在企业等组织中应用的博客
03-09 1399
通常,ELK Stack 使用 Logstash 或者 Filebeat 来采集 syslog 日志。 Beats 通常更轻量级,适合作为代理部署在各个日志源服务器上,而 Logstash 则功能更强大,可以进行更复杂的日志处理和转换。 选择 Logstash 还是 Filebeat 取决于你的具体需求和环境规模。
ELK日志系统之使用Rsyslog快速方便的收集Nginx日志
weixin_34206899的博客
08-29 279
常规的日志收集方案中Client端都需要额外安装一个Agent来收集日志,例如logstash、filebeat等,额外的程序也就意味着环境的复杂,资源的占用,有没有一种方式是不需要额外安装程序就能实现日志收集呢?Rsyslog就是你要找的答案! Rsyslog Rsyslog是高速的日志收集处理服务,它具有高性能、安全可靠和模块化设计的特点,能够接收来自各种来源的日志输入(例如:file,t...
Rsyslog+ELK日志分析系统搭建总结1.0(测试环境)
08-11 295
  因为工作需求,最近在搭建日志分析系统,这里主要搭建的是系统日志分析系统,即rsyslog+elk。   因为目前仍为测试环境,这里说一下搭建的基础架构,后期上生产线再来更新最后的架构图,大佬们如果有什么见解欢迎指导。 这里主要总结一下搭建过程。 一.rsyslog   rsyslog是如今大多数linux自带的日志收集,这里主要说一下rsyslog的简单配置。   cl...
Linux日志管理与分析:syslogELK stack的整合应用
[Linux日志管理与分析:syslogELK stack的整合应用](https://images.ctfassets.net/aoyx73g9h2pg/6H26syt2T12J85oPGrSUyd/ce96bd76dd16ced94b9dc197c991c736/What-is-Port-514-diagram.png) 参考资源链接:[Linux...
Linux日志分析方法
pengdott的专栏
01-14 726
日志是Linux系统中重要的组成部分,它记录了系统运行的状态、服务的信息以及可能存在的问题。通过分析日志,管理员可以快速定位故障、优化性能以及预防潜在的问题。本篇将介绍Linux日志的类型、日志配置及路径,以及常见的日志分析方法。Linux日志是系统管理员日常工作中不可或缺的工具,通过掌握日志的类型、配置以及分析方法,可以更高效地管理和维护系统。建议管理员定期检查日志,并结合自动化和集中化工具,提高运维效率。
使用RSYSLOG中继和转发日志
科技峰行者的博客
06-08 8011
作者:唯品会安全应急响应中心技术团队,2015年9月16日唯品会安全应急响应中心(VIP Security Response Center , 简称VSRC)应运而生,隶属于唯品会(中国)有限公司信息安全部。VSRC成立以来,一直致力于持续建设更加安全可靠的线上购物平台,为3亿用户的安心购物体验保驾护航,同时加强与业界同仁的合作与交流,推动行业共同进步。 责任编辑:孙浩峰 关注云计算、大数据、运...
ELK日志平台分析(Elasticsearch安装配置+logstash数据采集+Kibana数据可视化+xpack安全验证)
Aimee_c的博客
06-12 5164
文章目录1.Elasticsearch1.1 Elasticsearch介绍1.2 Elasticsearch的安装与配置1.安装软件并修改配置文件2.修改系统限制3.修改systemd启动文件4.elasticsearch插件安装5.更换npm的yum源(要求虚拟机可上网)6.修改es主机ip和端口7.启动head插件8.修改ES跨域主持9.创建索引1.3 配置Elasticsearch集群1.4 Elasticsearch中的节点角色与优化1.Elasticsearch中的节点角色2.Elasticse
最简单的系统日志收集方式 elk + rsyslog客户端
很长很长的专栏
05-03 7298
收集系统日志是做监控的基础,本文章用rsyslog+elk收集系统日志 原理图: ryslog 配置 ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地 vim /etc/rsyslog.conf 找到 #*.* @@remote-host:514 修改 #*
rsyslog+elk 网络设备日志收集及钉钉报警
机智的埃努
09-21 2392
目录 一.概要 二.实施 1.数据源 2.rsyslog 3.elasticsearch 4.logstash 5.kibana 三.日志展示 1.打开kibana页面 四·钉钉报警 1.elastalert 2.dingtalk 3.rule 4.报警脚本 5.报警测试 一.概要 二.实施 1.数据源 1.网络设备日志,可用模拟器如华为的ensp进行模......
[ELK入门到实践笔记] 一、通过rsyslog搭建集中日志服务器
11-04 1238
ELK 是elastic公司提供的一套完整的日志收集以及展示的解决方案,这是我在ELK学习和实践过程写下的笔记,整理成了一个ELK入门到实践的系列文章,分享出来与大家共勉...
driftingblues3靶机(auth.log日志、命令执行)
m0_66299232的博客
12-19 769
1.回弹shell成功后用python来弹交互式shell,在robertj用户下发现.ssh目录。那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执行。8.把ip给替换成可以执行提权的命令,然后把环境变量改了,就可以成功提权。2.看下敏感目录里的信息,不让访问/eventadmins目录。等几分钟再执行curl命令,发现成功记录了登陆的信息。1.故意登录ssh,造成报错,看能否在日志里看到。7.查看之后,发现特别像auth.log的内容。9.最后进入root目录,成功拿下!
日志提权 /var/log/auth.log
m0_57221101的博客
03-27 3993
首先介绍一下这个日志,这个是ssh的登陆日志,会记录下ssh登录,sudo,su等命令的相关信息,这里需要重点提及的是,会记录下ssh登录时的用户名。 这个文件的权限一般是310所以不会被除root用户外的其他用户直接写入,一般也不能被除root组外的其他用户读取,但是一旦可以被读取,就可以在这上面下文章了 . ## 利用方法 之前说过auth日志会保存尝试ssh登录的用户名而不去校验这个用户名是否合法或在本地存在 那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执
ELK实战二:日志收集利器rsyslog
热门推荐
qiezikuaichuan的专栏
11-24 1万+
http://www.weblnn.com/c/146.html ELK实战二:日志收集利器rsyslog   开源框架    领男   2016-10-20   9浏览 目录(?)[+] rsyslog 无论在性能还是部署上都优于其它日志收集应用,因系统自带,需要新功能只需要做升级即可,方便部署! 一、Rsyslog特性 Multi-
ELK 通过 Rsyslog 收集 HaProxy 日志
LCK 博客
08-29 425
一、部署 HaProxy SRC_DIR=/usr/local/src COLOR="echo -e \\033[01;31m" END='\033[0m' CPUS=`lscpu |awk '/^CPU\(s\)/{print $2}'` LUA_FILE=lua-5.4.3.tar.gz HAPROXY_FILE=haproxy-2.2.12.tar.gz HAPROXY_INSTALL_DIR=/apps/haproxy STATS_AUTH_USER=admin STATS_AUTH_PASSW
centos系统日志沉淀
最新发布
03-30
<think>嗯,用户让我介绍一下CentOS系统日志沉淀,我需要先理解这个主题。首先,确定用户可能指的是日志的收集、存储和管理,也就是日志的沉淀过程。可能用户是系统管理员,或者刚开始学习CentOS,需要了解如何有效处理系统日志。 接下来,我应该回忆CentOS中常用的日志系统。记得CentOS 7及以后版本使用systemd-journald和rsyslog,而之前版本可能用syslog。需要区分不同版本的差异,但用户可能更关注当前主流版本,比如CentOS 7/8。 然后,日志的位置是关键。常见的日志文件如/var/log/messages、/var/log/secure等,这些是系统、安全、认证相关的日志。另外,systemd的journalctl命令也是重要的日志查看工具,需要提到。 日志轮转机制,logrotate工具是必须介绍的,它如何配置来自动切割和压缩旧日志,防止磁盘占满。用户可能需要知道如何自定义这些配置,比如在/etc/logrotate.d/下添加配置。 对于集中式日志管理,可能会提到使用rsyslog或syslog-ng将日志发送到远程服务器,或者用ELK栈(Elasticsearch, Logstash, Kibana)进行日志分析。不过用户的问题可能更基础,是否需要深入这部分要看情况,但简要提及可能对用户有帮助。 安全性方面,需要提醒日志文件权限设置,避免未授权访问,以及定期备份的重要性。这些都是系统维护的基本点。 实际应用部分,应该给出一些例子,比如查看特定服务的日志,使用journalctl过滤日志,配置logrotate等,让用户能直接应用这些知识。 需要确保回答结构清晰,分点说明,使用中文,同时注意LaTeX格式的正确使用。不过在这个回答中可能数学公式不多,但如果有命令行中的变量,可能需要用$包裹,比如$hostname。但根据用户提供的系统指令,行内数学表达式需要用$...$,独立公式用$$...$$。不过日志内容可能更多是命令和路径,不太涉及数学表达式,但需要检查是否有需要用到的地方,比如在示例命令中的变量。 最后,验证信息的准确性,比如确认CentOS 7确实使用systemd和rsyslog日志路径是否正确,logrotate的配置方法等。确保回答正确可靠,避免错误信息。</think>在CentOS系统中,日志沉淀是系统管理的重要环节。以下是分步骤的详细介绍: --- ### 一、日志系统核心组件 1. **systemd-journald** - 作用:二进制日志服务,记录内核、启动过程及所有systemd托管服务的日志 - 查看命令:`journalctl` - 示例: ```bash journalctl -u nginx.service # 查看Nginx服务日志 ``` 2. **rsyslog** - 作用:传统文本日志系统,将日志分类存储到/var/log目录 - 配置文件:`/etc/rsyslog.conf` - 日志分类: - 系统日志:`/var/log/messages` - 安全日志:`/var/log/secure` - 内核日志:`/var/log/kern.log` --- ### 二、日志文件存储结构 | 日志文件 | 用途 | |-------------------------|-------------------------------| | `/var/log/messages` | 常规系统活动日志 | | `/var/log/secure` | 用户认证相关日志(SSH、sudo) | | `/var/log/cron` | 计划任务日志 | | `/var/log/maillog` | 邮件服务日志 | | `/var/log/boot.log` | 系统启动日志 | --- ### 三、日志轮转机制(Log Rotation) 通过`logrotate`实现自动日志切割和归档: 1. **主配置文件** - `/etc/logrotate.conf` - 自定义配置:`/etc/logrotate.d/*` 2. **典型配置示例** ```conf /var/log/nginx/*.log { daily missingok rotate 14 compress delaycompress notifempty create 0640 nginx adm sharedscripts postrotate /bin/kill -USR1 $(cat /run/nginx.pid 2>/dev/null) 2>/dev/null || true endscript } ``` --- ### 四、高级日志管理方案 1. **集中化日志收集** - 使用`rsyslog`转发日志到远程服务器: ```bash *.* @192.168.1.100:514 # 添加到/etc/rsyslog.conf ``` 2. **ELK Stack方案** - Elasticsearch:日志存储与检索 - Logstash:日志收集处理 - Kibana:可视化展示 --- ### 五、实践建议 1. **日志审查命令** ```bash tail -f /var/log/messages # 实时追踪日志 grep "ERROR" /var/log/secure # 筛选错误日志 journalctl --since "2023-10-01" # 按时间过滤日志 ``` 2. **安全加固措施** - 设置严格的文件权限: ```bash chmod 640 /var/log/secure chown root:adm /var/log/auth.log ``` - 定期备份重要日志 - 启用日志签名防篡改(如使用auditd) --- ### 六、故障排查流程 1. 确定时间范围 2. 定位相关服务日志文件 3. 使用`grep`/`awk`过滤关键信息 4. 结合`dmesg`检查内核日志 5. 通过`systemctl status`验证服务状态 通过以上机制,CentOS实现了完整的日志生命周期管理,建议定期审查日志并建立自动化监控告警系统。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值