linux rsyslog配置远程,rsyslog常用配置

最新推荐文章于 2024-09-09 14:58:41 发布
最新推荐文章于 2024-09-09 14:58:41 发布
阅读量815 收藏
点赞数
文章标签: linux rsyslog配置远程
本文详细解读了rsyslog在Linux系统中的日志类型、级别设置,以及如何配置本地存储、远程转发和高级过滤技巧。还介绍了如何利用rsyslog实现日志轮转和服务器间数据传输,是日志监控和管理的好帮手。
摘要由CSDN通过智能技术生成

近期在思考一种简单的系统日志统一分析监控方案。在开始后面的内容之间先说下rsyslog,rsyslog目前是redhat、Ubuntu等常见linux发行版上自带的日志管理软件,其配置也比较简单。其主配置文件是/etc/rsyslog.conf 。

一、日志类型和级别

1、日志设备(可以理解为日志类型)auth –pam产生的日志

authpriv –ssh,ftp等登录信息的验证信息

cron –时间任务相关

kern –内核

lpr –打印

mail –邮件

mark(syslog)–rsyslog服务内部的信息,时间标识

news –新闻组

user –用户程序产生的相关信息

uucp –unix to unix copy, unix主机之间相关的通讯

local 1~7 –自定义的日志设备

2、日志级别debug –有调式信息的,日志信息最多

info –一般信息的日志,最常用

notice –最具有重要性的普通条件的信息

warning –警告级别

err –错误级别,阻止某个功能或者模块不能正常工作的信息

crit –严重级别,阻止整个系统或者整个软件不能正常工作的信息

alert –需要立刻修改的信息

emerg –内核崩溃等严重信息

none –什么都不记录

从上到下,级别从低到高,记录的信息越来越少

3、日志连接

日志设备(类型).(连接符号)日志级别,构成日志处理方式(action)。.xxx: 表示大于等于xxx级别的信息

.=xxx:表示等于xxx级别的信息

.!xxx:表示在xxx之外的等级的信息

二、日志存储和发送

1、本地保存kern.*;*.warn /var/log/kern.log

*.info;mail.none;authpriv.none;cron.none /var/log/messages

authpriv.* /var/log/secure

mail.* /var/log/maillog

cron.* /var/log/cron

2、远程转发*.* @192.168.0.1 # 使用UDP协议转发到192.168.0.1的514(默认)端口

*.* @@192.168.0.1:10514 # 使用TCP协议转发到192.168.0.1的10514(默认)端口

3、发送本地用户*.* root

*.* root,kiosk,zabbix # 使用,号分隔多个用户

*.* * # *号表示所有在线用户

三、高级用法

1、忽略、丢弃local3.* ~ # 忽略所有local3类型的所有级别的日志

local3.* ^/tmp/a.sh # ^号后跟可执行脚本或程序的绝对路径

2、过滤日志

过滤特定的日志到文件, 忽略(丢弃)包含某个字符串的日志:# 过滤日志, 由:号开头

:msg, contains, “error” /var/log/error.log

:msg, contains, “error” ~ # 忽略包含error的日志

:msg, contains, “user nagios” ~

local3.* ~

四、远程传输

1、配置服务端(接收)vi /etc/rsyslog.conf #在文件开始加上,同时确保514端口能够被客户端用tcp访问

$ModLoad imtcp.so # needs to be done just once #使用tcp方式

$InputTCPMaxSessions 500 # tcp接收连接数为500个

$InputTCPServerRun 514 # tcp接收信息的端口

$template logformat,”%TIMESTAMP:::date-mysql% %FROMHOST-IP%%msg%\n” # 定义一个名为logformat模板, 为信息加上日志时间

$template DynFile,”/var/log/tlog%$year%%$month%%$day%.log” # 定义日志文件的名称,按照年月日

:rawmsg, contains, “sdns_log” ?DynFile;logformat # 把rawmsg(也可以使用msg)日志中包含sdns_log标志的信息写到DynFile定义的日志文件里

:rawmsg, contains, “sdns_log” ~ # 这个表示丢弃包含sdns_log标志的信息, 一般都加上它, 以免多个日志文件记录重复的日志

如果要把不同服务器发送过来的日志保存到不同的文件, 可以这样操作::fromhost-ip, isequal, “192.168.0.160″ /var/log/host160.log

:FROMHOST-IP, isequal, “192.168.0.161″ /var/log/host161.log

:FROMHOST-IP, startswith, “192.168.1.” /var/log/network1.log

:FROMHOST-IP, startswith, “192.168.2.” /var/log/network2.log

2、配置客户端(发送)vi /etc/rsyslog.conf #在文件开始加上

#把包含sdns_log的信息通过tcp发到192.168.1.2 @@表示tcp @表示udp

:rawmsg, contains, “sdns_log” @@192.168.1.2 # 默认514端口

#这个表示丢弃包含sdns_log标志的信息,防止这个信息写到本机的/var/log/message

:rawmsg, contains, “sdns_log” ~

可以使用如下方法进行测试:在客户端上执行

logger -p user.info “sdns_log 34334″

在服务端的/var/log/目录里是否有tlog*日志产生

需要日志轮转的,可以使用logrotate进行配置。

weixin_39929602
关注
linux rsyslog三种远程转发配置方式
z19861216的博客
11-11 864
linux rsyslog三种远程转发配置方式
linux rsyslog配置远程,使用rsyslog进行远程日志记录的简易教程
weixin_31819459的博客
05-10 1571
你们为什么要记录数据?对于我有两个明确的原因:统计和调试。对于第一种情况,一段时间内无法访问得到数据并不是什么大问题,统计只有在收集很长一段时间后才有意义。但当某台服务器完全故障,服务一个接一个不可用,你想马上确定发生了什么,你必须通过ssh访问你的日志,然而服务已经不可用。这时日志记录在远程就很有必要了。我们可以依靠操作系统提供一个方案来解决这个问题。从2004年开始,Rainer Gerhan...
rsyslog远程配置
philarlar的专栏
07-18 1422
昨天帮工程部的人配置了一下rsyslog
linux 配置远程日志服务器配置,配置rsyslog远程日志服务器
weixin_36474966的博客
05-08 2472
环境:系 统:Centos7.4服务端:172.20.10.6客户端:172.20.10.7 (lncs.net)服务端配置1、修改rsyslog配置文件[root@localhost ~]# vim /etc/rsyslog.conf# Provides TCP syslog reception$ModLoad imtcp$InputTCPServerRun 514找到以上两个模块,去掉前面注释...
linuxrsyslog日志服务(配置,测试、日志转储)
最新发布
qq_43331089的博客
09-09 2316
Rsyslog的全称是,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日 志消息。
配置 rsyslog,使得可以通过 rsyslog 服务来在远程主机间传输日志
qq_16069927的博客
06-20 524
见https://www.thegeekdiary.com/configuring-remote-logging-using-rsyslog-in-centos-rhel/ Once the central log host is configured to accept remote logging, the rsyslog service can be configured on remote systems to send logs to the central log host. To conf.
Linux日志Rsyslog作用,日志远程同步
baibaibai888的博客
03-06 797
linux日志rsyslog服务器的简单介绍。通过配置rsyslog.conf文件来实现日志远程同步
网站被植入Webshell的解决方案
03-25 1033
什么是Webshell 从字面上理解,”Web”指需要服务器开放Web服务,”shell”指取得对服务器的某种程度的操作权限。Webshell指匿名用户(入侵者)通过网站端口,获取网站服务器的一定操作权限。 Webshell通常是以ASP、PHP、JSP、ASA或者CGI等网页文件形式存在的一种命令执行环境,也称为网页后门。黑客在入侵网站后,通常会将Webshell后门文件与网站服务...
Linux 通过rsyslog配置日志服务器
12-02
通过使用rsyslog软件包,我们可以轻松地配置一个Linux日志服务器,以便收集和管理来自不同客户端机器的日志信息。rsyslog是syslog的扩展,它不仅能够处理本地日志,还能接收和转发来自远程系统日志消息。在进行...
rsyslog配置说明.docx
04-02
### rsyslog配置详解 #### 一、日志类型与级别 **日志设备(类型)** ...通过以上步骤和配置示例,可以有效地在 CentOS 7 上实现基于 rsyslog远程日志收集系统,帮助管理员更好地监控和分析系统状态。
RSYSLOG系列】rsyslog远程服务器搭建
weixin_54954007的博客
11-11 3099
搭建接收日志rsyslog服务器
/etc/rsyslog.conf配置文件说明
diaoping4128的博客
01-13 1705
一、authpriv.* /var/log/secure 服务名称【连接符号】日志等级 日志记录位置 认证相关服务 注释: 1、 - 表示延迟写入,先做事情再记录日志,例如:邮件较多时会影响磁盘的开销,磁盘的开销直接影响系统的优劣,所以为了调...
嵌入式系统中使用远程syslog进行调试与诊断
yihui8的专栏
11-16 4901
Syslog机制是类unix系统中经常使用的一种日志记录方式。它能够以多种级别组合记录系统运行过程中各类日志信息。比如内核运行信息日志,程序运行输出的日志等。在为嵌入式系统做开发时,将程序运行时的一些重要信息写入日志中,对于程序的调试以及错误诊断帮助是非常大的。重要信息包括程序运行时的重要变量,函数运行结果,错误记录等等。对于嵌入式系统而言,由于系统资源有限,而且是交叉开发,调试及诊断及其不便。使
linux远程日志rsyslog服务端和客户端安装
u010154380的专栏
04-20 4710
linux远程日志rsyslog服务端和客户端安装用rsyslog的缘由: 1.防止系统崩溃无法获取系统日志分享崩溃原因,用rsyslog可以把日志传输到远程日志服务器上 2.使用rsyslog日志可以减轻系统压力,因为使用rsyslog可以有效减轻系统的磁盘IO 3.rsyslog使用tcp传输非常可靠,可以对日志进行过滤,提取出有效的日志,rsyslog是轻量级的日志软件,在大量日志写的
linux指定syslog端口号,linux – syslog ip使用`rsyslog`到特定文件
weixin_34278722的博客
05-05 575
rsyslogd配置在/etc/rsyslogd.conf中# provides remote UDP syslog reception$ModLoad imudp$UDPServerRun 514# If logging to an NFS mount, use these settings...# "OMFileFlushOnTXEnd off" avoids fsync on ever...
rsyslog mysql ip_Linux项目之rsyslog存储到MySQL及可视化web界面
weixin_39937524的博客
01-19 197
一、主机要求:1、最少3台服务器,系统最少centos6以上2、设置防火墙规则,或者临时清空防火墙规则3、setenforce 0二、环境要求1、一台client服务器(或者更多,本项目只用一台作为带便,其他与之相同)2、一台日志服务器,专门用做转发其他服务器的log到数据库3、一台专门的数据库服务器(环境要求①.安装LAMP)4、在数据库服务器上下载loganalyzer软件,解压至/var/w...
Rsyslog系统日志管理,解决/var/log/message文件过大问题
生活需要深度
03-03 5966
最新的文件是messages,第一次强制轮转后的旧文件是messages.1,cat messages.1会看到logger -t "呵呵" "再见!如果不想记录到/messages,可修改/etc/rsyslog.conf,添加local6.none,则不再显示ssh的日志。(不想记录就修改/etc/rsyslog.conf,将local0.none加在/var/log/messages那行里)通过rsyslog程序去管理来自指定设备载体的日志记录到指定的文件(修改/etc/rsyslog.conf)
rsyslog start with
weixin_30784945的博客
08-15 136
startswith Checks if the value is found exactly at the beginning of the property value. For example, if you search for “val” with :msg, startswith, "val" it will be a match if msg contains “valu...
CentOS 7 Rsyslog 远程日志配置详解与实战
本文档详细介绍了如何在CentOS 7系统中配置rsyslog以实现远程日志管理,主要涉及以下几个关键知识点: 1. **日志类型和级别**: - rsyslog支持多种日志类型,包括但不限于kern(内核日志)、user(用户生成的日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值