将一台及多台服务器操作日志发送至中央日志服务器

最新推荐文章于 2024-03-14 15:39:24 发布
最新推荐文章于 2024-03-14 15:39:24 发布
阅读量1.9k 收藏 3
点赞数 1
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41570012/article/details/107669894
版权

1.首先确定client服务器
定义info,error级别日志,并发送到日志服务器上,在下列位置插入

vim /etc/rsyslog
# Save boot messages also to boot.log
local7.*                                    /var/log/boot.log
*.info                                      @xxx.xxx.xxx.xxx        #此行为添加行(xxx代表你发送至的服务器ip地址)
上面指的是只发info级的日志给日志服务器(多用于测试)

下面是将改服务器所有的日志转发至日志服务器(通常使用这个)
*.*                             @xxx.xxx.xxx.xxx    #此行为添加行 xxx为转发日志的服务器

保存退出,并重启rsyslog服务

redhat重启命令:      /etc/init.d/rsyslog restart
centos7重启命令:   systemctl restart rsyslog

2.中央日志server服务器配置

日志服务器默认是不接收远端日志的,我们首先让日志服务器接收远端发来的日志,然后定义存储位置。
(1) 取消15 16 19 20行的注释,接收远端日志。

 vim /etc/rsyslog
 14 # Provides UDP syslog reception
 15 $ModLoad imudp
 16 $UDPServerRun 514
 17 
 18 # Provides TCP syslog reception
 19 $ModLoad imtcp
 20 $InputTCPServerRun 514

这个必须打开因为日志守护进程需要这个端口来接收其他服务器的日志,而且若是开了防火墙必须将其upd端口打开
下面举个iptables的防火墙例子

vim /etc/sysconfig/iptables
加入下面这行
-A INPUT -p udp --destination-port 514 -j ACCEPT

(2)接收的日志存在/var/log/othersServer/info.log

# Save boot messages also to boot.log
local7.*                                 /var/log/boot.log
*.info                                   /var/log/othersServer/info.log     #此行为添加行
*.error                                  /var/log/othersServer/error.log     #此行为添加行

以上2个为自定义级别的日志,为了接收对应的服务器发送过来的日志(多用于测试)

下面为实战使用的模板
使用文本编辑器来打开 /etc/rsyslog.conf,然后在GLOBAL DIRECTIVE块前追加以下的模板;日志存在/var/log/serverlog下面并且用hostname进行分开存储。

$template RemoteLogs,"/var/log/serverlogs/%HOSTNAME%/%PROGRAMNAME%.log" *
*.* ?RemoteLogs
& ~

在此对该模板进行简单解释,$template RemoteLogs(这里“RemoteLogs” 字符串可以为任何其他的描述性的名称)指令使rsyslog后台进程将日志消息写到/var/log下的单独的本地日志文件中,其中日志文件的名称是基于远程日志发送机器的主机名以及生成该日志的应用程序名进行定义的。其中第二行暗示了我们将RemoteLogs模板应用到所有接收到的日志上。

符号"& ~"表示了一个重定向规则,被用来告知rsyslog守护进程停止对日志消息的进一步处理,并且不要在本地写入。如果没有使用该重定向规则,那么所有的远程消息都会在写入上述描述的日志文件之外同时被写入到本地日志文件,这就意味着日志消息实际上被写了两次。使用该规则的另外一个结果就是syslog服务器本身的日志消息只会被以该机器主机名命名的专有文件中。

保存退出,并重启rsyslog服务

redhat重启命令:      /etc/init.d/rsyslog restart
centos7重启命令:   systemctl restart rsyslog

先配置好接收服务器的日志系统然后重启
再配置需要发送日志的服务器的日志系统后重启

然后在日志服务器上检查

[root@server ~]# cat /var/log/serverlogs/test/ 
Aug 31 23:21:50 bogon root: test test

记住若是日志接收的服务器开启了防火墙一定要将其upd的514端口打开,否则无法接收到发送服务器发出的日志!!!!

哦后面还有一些百度到加日志保留时间配置以及相关日志的作用

日志通常存放路径以及作用
[root@www ~]#ls /var/log/ --此目录下很多系统日志都存放在此
/var/log/messages --非常重要的日志文件,几乎所有系统发生的重要错误都会记录在此
/var/log/secure --ssh ftp telnet pop3 pam等有关
/var/log/dmesg --开机时核心检测过程中所产生的信息
/var/log/cron --查看时间任务有关的日志
/var/log/wtmp --用last查看,不能直接cat
/var/log/btmp --用lastb查看,不能直接cat
/var/log/lastlog --用lastlog查看
/var/log/boot.log --系统启动过程日志记录存放
/var/log/rpmpkgs --rpm相关
/var/log/maillog --mail相关
/var/log/spooler --news,uucp
/var/log/acpid --高级电源管理
/var/log/yum.log --yum程序相关的日志

连接符号
. 记录大于等于此等级
.= 只记录等于此等级的信息
.! 不等于此等级,也就是记录此等级之外的信息

(1)只记录mail的info级别信息到/var/log/newmaillog

mail.=info /var/log/newmaillog

(2)记录时间任务的info级别以上的所有信息(除了err外)到/var/log/newcron

cron.info;cron.!err /var/log/newcron

(3)把ssh的日志单独记录到/var/log/ssh
提示 local0-local7是自定义的日志设备,可以使用其中一种
如果拖管到xinetd下,可以这样做:

log_type =syslog local5 info

然后在syslog的主配置文件里加上

local5.info /var/log/ssh

如果没有ssh托管到超级守护进程的话配置如下

[root@www ~]#vim /etc/ssh/sshd_config

SyslogFacility local5 --修改成local5,把ssh的日志定义由local5来记录

[root@www ~]#/etc/init.d/sshd restart --重启使之生效
[root@www ~]#vim /etc/rsyslog.conf  
local5.* /var/log/ssh --添加加一句

[root@www ~]#/etc/init.d/rsyslog restart --重启后/var/log/ssh文件被自动创建

日志切割论转备份

rotate
默认情况以下日志每过一个星期将自动论转备份。
/var/log/messages
/var/log/cron
/var/log/boot.log
/var/log/maillog
/var/log/secure

(1)配置全局论转备份文件

[root@www ~]#vim /etc/logrotate.conf

see “man logrotate” for details # rotate log files weekly
weekly --默认是一个星期rotate一次

# keep 4 weeks worth of backlogs

rotate 4 --默认保留4份备份文件

# use date as a suffix of the rotated file

dateext --rhel6里的新参数,表示轮转后,名字后不再以.1,.2这样的结尾,而以时间来结尾,时间格式也可以由dataformat参数来设定

# create new (empty) log files after rotating old ones

create --rotate后,创建一个新的代替

# uncomment this if you want your log files compressed

#compress --默认没有打开日志压缩功能

# RPM packages drop log rotation information into thisdirectory

include /etc/logrotate.d --这表示/etc/logrotate.d目录下的所有配置文件都生效

# no packages own wtmp -- we'll rotate them here

/var/log/wtmp { --针对wtmp单独的配置,这里是绝对路径
monthly --一个月rotate一次,取代上面的全局配置里的一个星期一次
minsize1M --指定最小大小为1M,才rotate,就算大小到了,但时间没到,不轮转;如果时间到了,大小没到,也不轮转;要两个条件都满足才轮转
create 0664root utmp --定义创建的为属性为0664,属主为root,属组utmp
rotate1 --保留一个
}

/var/log/btmp {
missingok
monthly
create 0600root utmp
rotate1
}
上面只是说明下面这些
因此只需要修改/etc/logrotate.conf 中的

# keep 4 weeks worth of backlogs
rotate 4
改为rotate 12    /最多转储12次

将/var/log/wtmp {
    monthly     /每次转储以月为周期,保留最近12个月的日志
    create 0664 root utmp   //转储后文件不存在时创建它,文件所有者为 root,所属组为utmp,对应的权限为0664
    minsize 1M       //代表最小存储1m
    rotate 1 中的1改为3,
}

保存后通过service syslog restart命令重启syslog进程。

综合以下两个文章总结出来的:
https://blog.51cto.com/836459598/1844990
https://www.cnblogs.com/xiaoyaojinzhazhadehangcheng/articles/8342404.html

告辞啥都不会
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记CentOS7里搭建日志服务器实验
weixin_48514600的博客
11-03 811
debug,info,notice,warning,warn (same as warning 这个代表warning和warn一个级别),err,error (same as err 这个代表err和error一个级别),crit,alert,emerg,panic (same as emerg 这个代表emerg和panic一个级别)cron.none(none不是代表日志级别,这个是代表如果触发mail,authpriv,cron这三种服务的日志是不往/var/log/messages里写的)
日志服务器的搭建
m0_50818626的博客
05-11 3880
loganalyzer获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log目录下的日志并保存到服务端该目录下,一种是读取后保存日志服务器数据库中,这里测试的是mariadb数据库。//设置root密码为admin123。DocumentRoot "/loganalyzer" //约119行,改为"/loganalyzer" 原为/var/www/html。<Directory "/loganalyzer"> //约131行,改为"/loganalyzer" 原为/var/www/html。
案例实践:Shell定时上传文件至HDFS
Z_Data的博客
09-21 342
公司在线服务器每天都会产生网站运行日志,为了避免单个日志文件过大,日志文件需要每个小时进行回滚,现在要求每小时定时上传日志文件到HDFS集群,后期再使用MapReduce计算框架定时处理日志文件。
Web日志部署与管理
wenbingcai的专栏
10-15 1225
 一、        WEB日志部署1.apache的日志文件是单个的,很容易达到2G的限制,很容易把/var卷填满,有必要对它进行自动切分,然后就可以运用自动处理程序进行压缩等操作。要对apache的日志文件进行处理,必须要停止apache,否则,会丢失一些日志,进行过这些操作的同志肯定,肯定可以体会到其棘手之处。在网上找到一个专门处理apache日志的程序cronolo
LINUX 操作记录到syslog,并发送到syslog服务器
chuowu3127的博客
04-25 1691
History记录到syslog中 日志类型 auth -用户授权authpriv -授权和安全cron -计划任务:at ,crondaemon-系统守护进程kern -与内核有关系的信息lpr -与打...
shell脚本编程:一键批量查询多台服务器集群上的日志.pdf
01-17
`Shell`脚本编程提供了一种自动化处理任务的方式,特别是在批量查询多台服务器上的日志时,能够极大地提高工作效率。本篇文档主要介绍了一个`Shell`脚本实例,用于一键查询分布在多台服务器上的日志,假设所有服务器...
python 同时查看多台服务器日志工具
06-01
使用python编写的轻量级查看日志工具 可以实现同时查看多台服务器日志 使用paramiko模块 首先下载多台服务器日志到本地,然后在本地查询并显示查询结果 config.py文件中配置服务器信息 demo.py文件为项目入口
使用php下载多台服务器中多个空间下的多个域名中的日志,完成后自动删除历史日志
06-13
这个跟之前的区别的是,之前的是可以批量下载一台服务器上的多个域名,这个可以下载多台服务器多个域名,指定日志下载 下载后并且自动删除, excel第一二三行分别是服务器地址,账号,密码,每一个sheet表代表一台...
socket-logger:将多个服务容器整合到一台机器上的中央日志目标
06-28
套接字记录器在 unix 套接字中实现的中央日志目标,它将多个服务容器日志合并到一台机器上。概述SocketLogger 提供了一个日志目标,它接受域特定的日志语句并将它们写入一个集中的目的地。 日志服务器创建一个侦听器...
收集U9后台日志的工具
09-17
UMTracer可以监听浏览器发出的Http请求,并通过与...开发人员可以利用此工具,在客户端直接分析服务器上出现的性能问题,在现场出现性能问题时,一线可以通过简单操作,为研发提供UMTracer的数据文件,用于研发分析。
SpringBoot自动配置原理(每一步都有说明哦)
qq_40842756的博客
09-07 451
SpringBoot自动配置原理 在SpringBoot启动主配置类时,@SpringBootApplication 注解发挥作用进行自动配置。 @SpringBootApplication 注解中,比较重要的有如下两个注解,实际发挥自动配置作用作用的是 @EnableAutoConfiguration 注解 而在@EnableAutoConfiguration 中,@Import导入了一个自动配置选择器类 AutoConfigurationImportSelector。 进入这个自动配置选择器类,可
CentOS系统做日志转发
最新发布
玩IT的川
03-14 690
rsyslog守护进程可以被配置成两种环境,一种是配置成日志收集服务器,rsyslog进程可以从网络中收集其它主机上的。,这些主机会将日志配置为发送到另外的远程服务器。rsyslog的另外一个用法,就是可以配置为客户端,用来过滤和发送内部日志消息到一台可以。在最后增加一条后面的*为日志服务器的ip)增加内容 (后面的*为日志服务器的ip)是远程日志服务器的IP地址或者主机名,代表所有的local0优先级的日志,是远程日志服务器监听的端口。是本地存储转发日志的路径。代表所有的日志优先级,
CentOS 7日志服务
weixin_55707333的博客
08-02 870
除了内置分类之外,日志管理工具还支持自定义的分类,其中最常见的是local0到local7。这些自定义分类允许用户根据特定的需求将日志消息进行更细致的归类和标记。这样可以根据不同的应用程序、服务或设备,将相关的日志消息放置在相应的分类中,便于后续的日志分析和处理。每个自定义分类都有一个数字标识符,范围从local0到local7,共8个。用户可以根据需要将自己的日志消息发送到其中的一个分类中。
centos6配置日志外发_CentOS 6.7搭建Rsyslog日志服务器
weixin_35613582的博客
01-17 1418
前言:随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。系统管理员遇到的常见问题如下:1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志;2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的;3、在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹;4、zabbix等监控系统无法代替日志管理,无...
mysql+enable+sql+log_CentOS7下利用rsyslog+loganalyzer配置日志服务器Linux和windows客户端配置...
weixin_29057237的博客
02-18 378
随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。系统管理员遇到的常见问题如下:1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志;2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的;3、在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹;4、zabbix等监控系统无法代替日志管理,无法监控...
中兴交换机日志发送至日志服务器,CISCO设备日志发送到log日志服务器
weixin_33603802的博客
07-31 1879
enconf tclock timezone GMT+8 #设置北京时间exitclock set HH:MM:SS DAY MONTH YEAR #设置当前时间service timestamps debug uptime #开启debug调试模式service timestamps log datetime localtime #开启log日志增加时间戳log on #启动log功...
rsyslog日志管理
不知道灬都不知道
06-27 1969
Rsyslog日志管理系统 一、常见的系统日志 日志格式:文本日志/二进制日志/数据库日志 默认的相关日志文件: /var/log/boot.log 系统引导日志,记录开机启动信息 /var/log/dmesg 核心的启动日志 /var/log/messages 系统的日志文件 /var/log/maillog 邮件服务的日志 /...
linux应用日志类型,linux日志分析
weixin_31534091的博客
05-03 529
linux日志文件可以说是最有用的了,日志文件可以让我们了解系统所处的状态,比如能查出哪些用户有登入,这也涉及相关的安全问题。 日志分析1.了解日志文件linux日志文件可以说是最有用的了,日志文件可以让我们了解系统所处的状态,比如能查出哪些用户有登入,这也涉及相关的安全问题。如果我们不懂得分析日志,可能我们都不知道有些用户曾经登入过我们的系统。另外系统出了什么问题,我们也要查看系统日志,比如...
在Centos中日志服务器的建立
网络小白的博客
04-13 1445
在Centos中日志服务器的建立 今天是通过以下这个实验来说明的 一、实验拓扑图 搭建环境:一台winxp作为客户机(192.168.1.1),一台centos1作为被登陆服务器(etho:192.168.1.254,eth1:172.16.1.254),另一台centos2作为日志服务器(172.16.1.1) ***注:1、winxp和centos1的eth0接口接在vmnet2上 2、ce...
一台数据库服务器部署多个mysql数据库如何快速查询指定数据库的binlog日志文件
03-14
可以使用以下命令来查询指定数据库的binlog日志文件: SHOW BINARY LOGS; 这将显示所有可用的二进制日志文件及其位置。然后,可以使用以下命令来查找指定数据库的binlog日志文件: SHOW BINLOG EVENTS IN 'filename' FROM pos; 其中,'filename'是SHOW BINARY LOGS命令返回的文件名,pos是该文件中要开始查找的位置。这将显示指定文件中的所有binlog事件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值