centos rsyslog mysql_centos7+rsyslog+loganalyzer+mysql 搭建rsyslog日志服务器

一、简介

在centos7系统中，默认的日志系统是rsyslog，它是一类unix系统上使用的开源工具，用于在ip网络中转发日志信息，rsyslog采用模块化设计，是syslog的替代品。

1、rsyslog特点

实现了基本的syslog协议

直接兼容syslogd的syslog.conf配置文件

在同一台机器上支持多个rsyslogd进程，支持多线程

丰富的过滤功能，可以实现过滤日志信息中的任何部分，可将消息过滤后在转发

灵活的配置选项，配置文件中可以写简单的逻辑判断，自定义输出格式等

增加了重要的功能，如使用tcp进行消息传输，支持UDP,TCP,SSL,TLS,RELP

有现成的前端web展示程序

可以使用MySQL,PGSQL,Oralce实现日志存储

默认安装的rsyslog软件包提供的守护进程是rsyslog，它是一项系统的基础服务，应该设置开机运行

2、核心组成

facility(设施，收集管道)，priority(级别)，target(路径)

facility：从功能或程序上对日志进行分类

auth：认证相关

authpriv：认证权限相关

cron：计划任务相关

daemon：守护进程相关

kern：内核相关

lpr：打印相关

mail：邮件相关

news：新闻相关

security：安全相关

syslog：自身日志

user：用户相关

uucp：unix to unix copy，早期系统文件共享服务

local0-local7：用户自定义facility

priority：日志级别也可以叫loglevel

debug：调试

info：除去debug外的所有信息

notice：注意

warn，warning：警告

err，error：错误信息

crit：蓝色警报

alert：橙色警报

emerg，panic：红色警报

指定级别的方式：

*：所有级别

none：没有级别

priority：比此级别高的(包含)所有级别的日志信息都会记录

=priority：仅记录指定级别

target：路径

文件路径：将日志记录于指定的文件中；在文件路径之前使用”-“，表示异步写入；

用户：将日志信息通知给文件

*：所有用户

日志服务器：@SERVER

管道：| COMMAND

3、配置文件明细

vim /etc/rsyslog.conf

1 # rsyslog configuration file

2

3 # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html

4 # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

5

6 #### MODULES #### 　　　　　　　　　　　　　　　　　#模块部分 7

8 # The imjournal module bellow is now used as a message source instead of imuxsock.

9 $ModLoad imuxsock #支持本地系统 provides support for local system logging (e.g. via logger command)

10 $ModLoad imjournal # provides access to the systemd journal

11 #$ModLoad imklog # reads kernel messages (the same are read from journald)

12 #$ModLoad immark # provides --MARK-- message capability

13

14 # Provides UDP syslog reception

15 #$ModLoad imudp

16 #$UDPServerRun 514

17

18 # Provides TCP syslog reception

19 #$ModLoad imtcp

20 #$InputTCPServerRun 514

21

22

23 #### GLOBAL DIRECTIVES ####　　　　　　　　　　　　　#全局指定 24

25 # Where to place auxiliary files

26 $WorkDirectory /var/lib/rsyslog

27

28 # Use default timestamp format

29 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

30

31 # File syncing capability is disabled by default. This feature is usually not required,

32 # not useful and an extreme performance hit

33 #$ActionFileEnableSync on

34

35 # Include all config files in /etc/rsyslog.d/

36 $IncludeConfig /etc/rsyslog.d/*.conf

37

38 # Turn off message reception via local log socket;

39 # local messages are retrieved through imjournal now.

40 $OmitLocalLogging on

41

42 # File to store the position in the journal

43 $IMJournalStateFile imjournal.state

44

45

46 #### RULES ####　　　　　　　　　　　　　　　　#规则部分 47

48 # Log all kernel messages to the console.

49 # Logging much else clutters up the screen.

50 # 本地物理终端，比如启动引导的时候，打印在屏幕上的日志，可以用dmesg看

51 #kern.* /dev/console

52

53 # Log anything (except mail) of level info or higher.

54 # Don't log private authentication messages!

55 #可以使用分号隔开，”*.info“所有的info，排除mail ，authpriv，cron

56 *.info;mail.none;authpriv.none;cron.none /var/log/messages

57

58 #如果想给发给日志服务器只需要指定服务器

59 #*.info;mail.none;authpriv.none;cron.none @192.168.216.53

60

61

62

63 # The authpriv file has restricted access.

64 #authpriv.* ，authpriv的任何级别

65 authpriv.* /var/log/secure

66

67 # Log all the mail messages in one place.

68 #任意的mail，-/var/log/maillog 减号是异步的意思，因为不是特别关键，所以异步，节省效率

69 mail.* -/var/log/maillog

70

71

72 # Log cron stuff

73 cron.* /var/log/cron

74

75 # Everybody gets emergency messages

76 #所有登陆到系统上的用户的信息

77 *.emerg :omusrmsg:*

78

79 # Save news errors of level crit and higher in a special file.

80 #”，“代表uucp和news都使用一个级别crit警告

81 uucp,news.crit /var/log/spooler

82

83 # Save boot messages also to boot.log

84 #自定义日志，比如说添加一个local2,对应修改sshd配置文件

85 local7.* /var/log/boot.log

86 #local2.* /var/log/sshd.log

87 # ### begin forwarding rule ###

88 # The statement between the begin ... end define a SINGLE forwarding

89 # rule. They belong together, do NOT split them. If you create multiple

90 # forwarding rules, du