1. Rsyslog日志服务简介
(1)Rsyslog简介
rsyslog( rocket-fast system for log),它提供了高性能,高安全功能和模块化设计。rsyslog能够接受从各种各样的来源,将其输入,输出的结果到不同的目的地。
(2)为什么要是有Rsyslog
-
web服务器多的时候检查日志是一件痛苦的事情;
-
使用一台统一的日志服务器,将登录认证,系统日志等全部发送到这台日志服务器上;
-
可以做监控分析,也能随时获取最新日志;
(3)Rsyslog的特性
-
多线程的服务,并发性能好;
-
可以使用udp,tcp,ssl,tls,relp等协议完成信息收集;
-
将日志可以存储在mysql,pgsql,oracle等数据库管理系统中;
-
强大的自定义过滤器,实现过滤日志信息中任何部分内容;
-
自定义输出格式;
(4)使用Rsyslog进行日志集中管理
C/S架构:客户端将其日志上传到服务器端,通过对服务器端日志的查询,来实现对其他客户端的日志进行集中管理;下面实现就是通过两套机器来实现,(server:202.100.10.2)——(client:202.100.10.3),将client上的日志传输到server上;
(5)安装Rsyslog服务
-
安装(一般系统会默认安装):yum install Rsyslog -y
-
查看服务状态:service Rsyslog status
-
启动服务:service Rsyslog start
2. Rsyslog的三种传输协议
编辑配置文件:vim /etc/rsyslog.conf;
注:日志的传输方式主要有三种:UDP,TCP,RELP
(1) UDP 传输协议
- 基于传统UDP协议进行远程日志传输,也是传统syslog使用的传输协议;
- 可靠性比较低,但性能损耗最少, 在网络情况比较差,或者接收服务器压力比较高情况下,可能存在丢日志情况。在对日志完整性要求不是很高,在可靠的局域网环境下可以使用。
(2)TCP 传输协议
- 基于传统TCP协议明文传输,需要回传进行确认&