Centos对Rsyslog日志远程转发和Mysql日志存储

最新推荐文章于 2022-04-02 20:27:42 发布
最新推荐文章于 2022-04-02 20:27:42 发布
阅读量1.1k 收藏 7
点赞数
分类专栏: Linux云计算 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31789689/article/details/108556277
版权

Centos:Rsyslog日志远程转发和Mysql日志存储

文章目录

实验环境

  • 远程日志/数据库服务器:Centos 7 ,静态ip:192.168.6.128
  • 本地日志/数据库服务器:Centos 6.9 ,静态ip:192.168.6.146

Rsyslog介绍

1. 介绍

  • 全称:Rocket-fast system for log

  • 特点:日志服务本身支持多线程;支持诸多传输协议日志:UDP,TCP;能够将日志存储到数据库中如Mysql;支持加密协议如SSL,TLS;具有强大的过滤器,可以对日志内容进行过滤;可以自定义输出格式

  • 组件:

    a. 主程序:/usr/sbin/rsyslogd

    b. Centos 6命令:service rsyslog {start|stop|restart|status}

    c. Centos 7命令:systemctl {start|stop|restart|status} rsyslog.service

    d. 配置文件:/etc/rsyslog.conf,/etc/rsyslog.d*.conf

    e. 库文件:/lib64/rsyslog/*.so

  • /etc/rsyslog.conf文件结构:

    MODULES模块,GLOBAL DIRECTIVES全局设置,RULES规则组成

  • 规则:由Facility,Priority,Target组成,在配置文件中配置格式如下:

    Facility.Proirity[;Fcility.Priority...]			Target

2. Facility

  • 参考:man 3 syslog

  • 说明:这个参数旨在明确究竟是哪一个服务(程序)在打印日志信息。使得配置文件明确日志的来源,从而进行相应的处理。

  • 设施类型:

    设施说明
    authPAM产生的日志,认证日志
    authprivFTP,SSH等登陆认证日志
    mail邮件日志
    cron计划任务(时钟进程)
    kern内核启动日志
    FTPFTP日志信息
    USER(默认)生成用户级别消息
    SYSLOG系统日志信息
    *****所有的facility

3. Priority

  • 参考:man 3 syslog

  • 说明:指明日志重要性级别(从上到下递减,先左后右递减)

    级别描述级别描述
    Emerg系统不可用Notice具有重要性的普通事件
    Alert闭幕马上采取措施Info有用事件
    Crit关键事件Debug调试信息
    Err错误事件*****所有级别
    Warn警告事件NONE不记录

4. Target

  • 说明:存储与指定日志文件中,通常在/var/log下,文件路径前面 - 表示异步写入;可以是如下:
  • 文件:/var/log/xxx.log
  • 日志服务器:@ip,UDP方式将日志送往指定远程服务器记录;@@ip是TCP方式
  • 管道:|COMMAND,转发给其他命令处理

Rsyslog日志转发

1. 软件安装确认

yum -y install rsyslog

2. 防火墙和SElinux配置

  • 如果还没学过防火墙配置,那么简单粗暴地关掉防火墙以满足日志转储所需的系统环境

    #关闭防火墙
iptables -F
#centos7查看防火墙状态
systemctl status firewalld
#cento6查看防火墙状态
service iptables status

3. 服务器配置文件修改

  • ​ 日志服务器端会根据rsyslog.conf的文件配置,设施/级别将日志存放到不同的文件。我们设定用户日志信息这一设施(Facility)为:user,对应一个具有重要性的普通设置级别:notice,将满足这样的情况发送到远程日志服务器/var/log/user.log的文件里;其他情况下,发过来的其他Facility产生的日志也会存放到其他指定的文件里。

  • 本地服务器

    [root@lin ~]# vim /etc/rsyslog.conf 
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
#远程转发日志 (ip地址填写远程日志服务器的ip地址)
#注意:使用@代表走UDP协议,使用@@代表走TCP协议。

user.notice                         @192.168.6.128514

#本地存储日志
user.notice                         /var/log/user.log

#重启服务
[root@lin ~]# service rsyslog restart
Shutting down system logger:                   [  OK  ]
Starting system logger:                        [  OK  ]

  • 远程日志日志服务器

    [root@ ~ 11:24:30]#vim /etc/rsyslog.conf
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

user.notice                          /var/log/user.log

#重启
[root@ ~ 11:39:25]#systemctl restart   rsyslog
#检查UDP514端口是否在提供服务
[root@ ~ 11:40:15]#netstat -tulnp|grep 514
udp        0      0 0.0.0.0:514             0.0.0.0:*                           1217/rsyslogd       
udp6       0      0 :::514                  :::*                                1217/rsyslogd

4. Logger测试

  • logger:一个导向syslog日志系统的shell命令接口
  • logger message :写日志,没有加任何选项,就从标准输入读取
#客户端
[root@lin ~]# logger luelueluepinginglab
[root@lin ~]# cat /var/log/user.log 
Aug  8 20:01:32 lin root: luelueluepinginglab

#服务器端
[root@ ~ 11:40:17]#tailf /var/log/user.log
tailf: stat failed /var/log/user.log: No such file or directory
[root@ ~ 11:40:57]#touch /var/log/user.log
[root@ ~ 11:41:41]#tailf /var/log/user.log   #先执行此命令,再去客户端打印日志
Aug  8 20:01:32 lin root: luelueluepinginglab

小结:通过本地日志服务器和远程日志服务器的配置文件的修改,实现本地日志远程存储在远程日志服务器中

Rsyslog日志转发到特定格式的文件

1.远程日志服务器端配置/etc/rsyslog.conf

#要求:使不同IP发来的日志单独放到不同的日志文件中
#日志文件名格式:IP-年-月-日.log
#模板设置:rsyslog.conf文件最底部加入如下模板
vim /etc/rsyslog.conf

#定义模板:用来指定接收的日志文件的存放路径,%...%之间定义的是参数
$template DynamicIpLog,"/log/%fromhost-ip%-%$YEAR%-%$MONTH%-%$DAY%.log"

#接收日志:将传来的用户普通消息存到指定位置(?用来标识动态模板)
user.notice                              ?DynamicIpLog

#:x!保存修改

2.测试

#重启远程服务器端
[root@ ~ 04:53:48]#systemctl restart rsyslog.service
[root@ ~ 04:54:08]#netstat -tulnp |grep 514
udp        0      0 0.0.0.0:514             0.0.0.0:*                           1517/rsyslogd       
udp6       0      0 :::514                  :::*                                1517/rsyslogd      
[root@ ~ 04:54:20]#ls /log   		 #一开始目录还没创建
ls: cannot access /log: No such file or directory
#日志发送端开始发送日志
[root@lin ~]# logger xixihahaxixihaha

#再次查看远程服务器端
[root@ ~ 04:55:05]#cat /log/192.168.6.146-2020-09-12.log    		 #已经将日志存到模板创建的目录中的文件当中
Aug  9 01:01:56 lin root: xixihahaxixihaha   #内容属实
[root@ ~ 04:55:20]#vim /etc/rsyslog.conf

Rsyslog日志存储于本地MySQL

1.安装

  • centos6: mysql-server
  • centos7: mariadb-server
#安装mysql的yum源
wget https://dev.mysql.com/get/mysql57-community-release-el6-9.noarch.rpm
#安装用来配置mysql的yum源的rpm包
rpm -Uvh mysql57-community-release-el6-9.noarch.rpm 
#安装mysql
yum install mysql-community-server
#开启mysql服务
[root@lin ~]# service mysqld start
Starting mysqld:                                 				  [  OK  ]

2.登陆修改密码

#初次安装,root用户的登陆密码是回车键即没有密码
[root@lin ~]# mysql -u root -p  
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
#登陆进去之后,再修改密码
mysql> use mysql;
mysql> UPDATE user SET Password= password('854633') where User='root';
Query OK, 2 rows affected (0.00 sec)
Rows matched: 3  Changed: 2  Warnings: 0
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

3.安装适用于Rsyslog日志服务的Mysql驱动

[root@lin ~]# yum install rsyslog-mysql
[root@lin ~]# ll /usr/share/doc/rsyslog-mysql-5.8.10/    #查看是否有sql文件
total 4
-rw-r--r--. 1 root root 1046 Apr 18  2011 createDB.sql   #将指定的sql文件导入到数据库中
[root@lin ~]# mysql -u root -p </usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql 
Enter password:
[root@lin ~]# mysql -u root -p                           #登陆mysql
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| Syslog             |									#Syslog日志数据库已经导入
| mysql              |
| test               |
+--------------------+
4 rows in set (0.00 sec)

4.Syslog数据库权限设置

#授予Syslog所有表的所有使用权限 给localhost(如果是外网主机这里就是对应ip地址),
#localhost通过账号为sysloguser密码为syspass使用Syslog数据库
mysql> grant all on Syslog.* to 'sysloguser'@'localhost' identified by 'syspass';
mysql> flush privileges; #刷新权限

5.修改Rsyslog配置文件

vim /etc/rsyslog.conf
#如果要接收其他主机的日志,需要开启相应的模块,以此打开对应监听端口
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
$ModLoad ommysql

#追加模块 
$ModLoad ommysql
#追加规则::模块名:+ip地址,+数据库名,++登陆名,+登陆密码
user.notice                                     :ommysql:127.0.0.1,Syslog,s
ysloguser,syspass
#服务重启
[root@lin ~]# service restart rsyslog
#查看状态
[root@lin ~]# service rsyslog status
rsyslogd (pid  3700) is running...

6.测试

#如果是将日志服务器的内容通过网络存储到远程数据库服务器中,那么在测试过程当中
#需要进行防火墙配置
#发送日志
[root@lin ~]# logger this is a log to mysql
#登陆mysql后,使用数据库
mysql> use Syslog;
#查看表格
mysql> show tables;
+------------------------+
| Tables_in_Syslog       |
+------------------------+
| SystemEvents           |
| SystemEventsProperties |
+------------------------+
2 rows in set (0.00 sec)
#查表
mysql> select * from SystemEvents\G;
*************************** 1. row ***************************
                ID: 1
        CustomerID: NULL
        ReceivedAt: 2020-08-09 04:12:50
DeviceReportedTime: 2020-08-09 04:12:50
          Facility: 1
          Priority: 5
          FromHost: lin
           Message:  this is a log to mysql   #确实是之前发送的日志内容,测试成功
        NTSeverity: NULL
        Importance: NULL
       EventSource: NULL
         EventUser: NULL
     EventCategory: NULL
           EventID: NULL
   EventBinaryData: NULL
      MaxAvailable: NULL
         CurrUsage: NULL
          MinUsage: NULL
          MaxUsage: NULL
        InfoUnitID: 1
         SysLogTag: root:
      EventLogType: NULL
   GenericFileName: NULL
          SystemID: NULL
lin'scodingera
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
8、log4j2的properties
weixin_43472934的博客
01-17 854
<?xml version="1.0" encoding="UTF-8"?> <!-- monitorInterval="30"表示当修改了配置文件,我们不需要重启,它每30秒重新加载配置文件 --> <Configuration status="WARN" monitorInterval="30"> <properties> <property name="LOG_HOME">D:/logs</property> </p
log4j日志的一些用法解释
weixin_42410730的博客
04-11 821
1类图中+表示public,-表示private 2Log4j中日志level7个 All<Debug<info<WARN<ERROR<FATAL<off,debug到error是常用的 Debug是调试信息,开发用,info是输出一些关键信息,warn表示不符合要求,但不会导致程序保存,error出错,fatal致命错误,导致程序退出,off是关闭所有日志记录 https://zhuanlan..........
Java(86):Logback日志不会每天生成新文件的问题
fen_fen的专栏
04-02 1638
问题:Logback日志不会每天生成新文件的问题 配置文件 <fileNamePattern>${logPath}/%d{yyyy-MM}/sdkTest_%d{yyyyMMdd}-%i.log</fileNamePattern> 配置了logback日志,但是日志文件不会每天生成一个新的文件 原因:出现此问题,有可能是因为FileNamePattern中配置了多个%d的原因,logback默认按照第一个时间日期来分类文件,所以导致按第一个%d{yyyy-MM}配置.
解决Logback日志不会每天生成新文件的问题
zyt_java的博客
03-30 3344
出现此问题的情况,很有可能是因为FileNamePattern中配置了多个%d的原因,logback默认按照第一个时间日期来分类文件, 所以导致按第一个%d{yyyy-MM}配置按月分割的,并不是没有生效想要的按文件日期分割: 而配置多个%d需要怎么处理呢?用aux关键字来进行标识(配置如下:) 问题解决,日志文件可以按天进行分割了,并且按月进行文件归类 ...
hbase下的logs怎么查看日志
萌兔兔MMQ!!
05-21 6709
日志文件夹的默认存储路径是:/var/log 下面是几个重要的日志文件: /var/log/messages:包括整体系统信息,其中也包含系统启动期间的日志。此外,还包括mail,cron,daemon,kern和auth等内容。 /var/log/syslog:它和/etc/log/messages日志文件不同,它只记录警告信息,常常是系统出问题的信息。 /var/log/user.log:记录所有等级用户信息的日志。 /var/log/auth.log:包含系统授权信息,包括用户登录和使用的权限机制等。
rsyslog日志转发配置(服务端和客户端
12-06
linux rsyslog日志转发配置(服务端和客户端),配置日志转发服务,把系统日志转发到其他linux系统
Centos8 搭建日志服务rsyslog+loganalyzer
08-12
CentOS8 搭建日志服务rsyslog+loganalyzer CentOS 8 是一个流行的 Linux 发行版...CentOS 8 搭建日志服务rsyslog+loganalyzer 是一个功能强大且灵活的日志解决方案,可以满足企业对日志收集、存储和分析的需求。
centos7.3Rsyslog+LogAnalyzer+MySQL中央日志服务
12-26
它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构。基于当前的日志数据,它可以处理syslog日志消息,...
rsyslog所有用户日志审计
12-22
* 日志记录分析:对日志记录进行统计和分析,以检测异常行为和安全威胁。 * 日志关联分析:对多个日志源进行关联分析,以检测安全威胁和问题。 * 日志挖掘分析:对日志记录进行挖掘分析,以检测隐藏的安全威胁和问题...
CentOS系统中安装MySQL和开启MySQL远程访问的方法
01-21
安装MySQL  安装MySQL和php-mysql [root@sample ~]# yum -y install mysql-server  [root@sample ~]# yum -y install php-mysql  配置MySQL [root@sample ~]#vim /etc/my.cnf 编辑MySQL的配置文件 [mysqld]...
SpringBoot+log4j2的思路记录,实现每天输出日志文件
allToBeNice42的博客
07-13 1437
收到大哥的一个要求:要用log4j2来记录开发过程中产生的信息,并以天为单位,保存日志文件;七天为一个周期。 听到这个需求,心里直打鼓,怎么做啊; 学习了一圈下来以后,也算是完成了这个任务安排; 乘机写下这篇博文,记录自己的实操过程,仅当复盘思路整理使用; log4j2 一个用来记录操作过程,并汇总成日志的东西,同类的产品还有logback、log4j; 为什么选择log4j2? 因为快、可靠、丢记录丢的少;好,打住,不继续深入。 ...
centos6配置日志外发_CentOS 6.7搭建Rsyslog日志服务
weixin_35613582的博客
01-17 1430
前言:随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。系统管理员遇到的常见问题如下:1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志;2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的;3、在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹;4、zabbix等监控系统无法代替日志管理,无...
log4j2-spring.xml 日志达到一定大小 自动归档_一日一技:使用 Linux 自带的 logrotate 管理你的所有日志...
weixin_29002595的博客
12-31 639
摄影:产品经理吃饭:kingname & 产品经理我们在开发的过程中,会创建非常多的日志,对日志进行 rotate 是一个基本要求。所谓的rotate,可以理解为对日志按照一定的规则进行切分。例如,每天晚上0点生成一个新的日志文件,并把老的文件归档。又或者每个日志文件超过多少 MB 以后就自动切分,并把老的内容单独存档或者压缩。存档以后的日志文件保存多少个。超过数量以后先删除老日...
Log4J日志配置
阿亮
07-24 412
一、Log4j简介Log4j有三个主要的组件:Loggers(记录器),Appenders (输出源)和Layouts(布局)。这里可简单理解为日志类别,日志要输出的地方和日志以何种形式输出。综合使用这三个组件可以轻松地记录信息的类型和级别,并可以在运行时控制日志输出的样式和位置。1、LoggersLoggers组件在此系统中被分为五个级别:DEBUG、INFO、WARN、ERROR和FATAL。这
log4j2按天/按小时/按月/按文件大小生成日志文件
weixin_42290648的博客
09-06 8178
@[TOC]完整且可用log4j2.xml文件配置 1.文件生成目录为:本项目的logfiles自定义目录,完整xml中是按没小时生成。 <?xml version="1.0" encoding="UTF-8"?> <!-- status=debug 可以查看log4j的装配过程 --> <configuration status="off" monitorInterval="1800"> <!-- Log4j 2 包含了基于LMAX 分离库的下一代的异步日志
log4j每天,每小时产生一日志文件
热门推荐
bit-cafe
08-05 1万+
一、之前的文章中有log4j的相关配置以及属性的介绍,下面我们先把配置列出来: log4j.rootLogger=INFO,file2,file3 #file2---------- log4j.appender.file2=org.apache.log4j.DailyRollingFileAppender log4j.appender.file2.Append=true log4j.appen
Log4j使用(一):每天生成一个日志文件DailyRollingFileAppender的使用
lv_jinzhao的博客
09-29 1万+
不多说,先上一个配置范例:         //文件存放路径         //每次记录时是否叠加,默认为true         //日期后缀格式(下面有详细配置说明)         //日志文件中所显示的信息格式(下面介绍)                             //过滤器,记录的日志等级[LevelMin,LevelMax]
Log4j使用笔记(二):每天生成一个日志文件、按日志大小生成文件
彦帅的博客
04-20 5639
log4j,按照每天生成日志和按日志大小生成。
log4j按日期输出日志的同时限制保存的个数
dns007
12-22 1万+
原文:http://www.shanhh.com/set_max_count_of_log_files_for_log4j/ Appender为日志输出目的地, log4j已经提供了非常丰富的Appender用以满足不同的需求: org.apache.log4j.ConsoleAppender 输出到控制台org.apache.log4j.FileAppender 输出到文件org.a
centos配置rsyslog
最新发布
11-08
CentOS中,rsyslog是一个用于系统日志记录的工具。要配置rsyslog,可以按照以下步骤进行操作: 1.备份原始文件:使用命令“cp -pv /etc/rsyslog.conf /etc/rsyslog.conf.orig”备份原始文件。 2.编辑配置文件:使用文本编辑器打开/etc/rsyslog.conf文件,并根据需要进行更改。 3.保存并退出:保存更改并退出文件。 4.重新启动rsyslog服务:使用命令“/etc/init.d/rsyslog restart”重新启动rsyslog服务

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值