linux主机服务器日志采集,rsyslog日志统一收集系统

最新推荐文章于 2024-06-08 07:30:00 发布
最新推荐文章于 2024-06-08 07:30:00 发布
阅读量492 收藏
点赞数
文章标签: linux主机服务器日志采集

# rsyslog统一日志收集系统

[TOC]

## 一 rsyslog相关基础

### A rsyslog 日志服务器的优势:

Rsyslog的全称是`rocket-fast system for log`,它提供了高性能,高安全功能和模块化设计。rsyslog能够接受从各种各样的来源,将其结果输出的到不同的目的地。 rsyslog可以提供超过每秒一百万条消息给目标文件。

**特点:**

* 多线程

* 可以通过许多协议进行传输UDP,TCP,SSL,TLS,RELP;

* 直接将日志写入到数据库;

* 支持加密协议:ssl,tls,relp

* 强大的过滤器,实现过滤日志信息中任何部分的内容

* 自定义输出格式;

### B rsyslog配置文件模块

rsyslog有完善的input-filter-output模块,但是由于现在有更强大的elk日志套件, rsyslog在我手中的用途只是用来统一收集某类日志(如sshd登录日志)到指定服务器,后续的再将该日志导入elk系统 因此这里不再详述rsyslog的这些模块,有兴趣的网上找相关文档

### C rsyslog配置文件规则

rsyslog.conf中日志规则的典型格式如下:

~~~

facitlity.priority action

#日志类型.日志级别   存储位置/动作

#日志类型和日志级别都可以用*(星号)表示所有

~~~

1. `facility`: 日志类型

| 日志类型 | 类型说明 |

| --- | --- |

| auth | pam 认证日志 |

| authpriv | ssh,ftp 等登录信息的验证信息,认证授权认证 |

| cron | 定时任务相关日志 |

| kern | 内核日志 |

| lpr | 打印及日志 |

| mail | 邮件日志 |

| mark/syslog | rsyslog 服务内部的信息日志 |

| news | 新闻组日志 |

| user | 用户程序产生的相关日志 |

| uucp | unix 主机之间相关的通讯日志 |

| local | 1~7 #自定义的日志设备 |

2. `priority`: 日志级别:

| 日志级别 | 级别说明 |

| --- | --- |

| debug | 调式信息的,日志信息最多 |

| info | 一般信息的日志,最常用 |

| notice | 最具有重要性的普通条件的信息 |

| warning | 警告级别 |

| error | 错误级别 |

| crit | 比较严重级别 |

| alert | 很严重警报级别 |

| emerg | 内核崩溃等严重信息 |

3. `action`:日志动作

~~~

1)记录到普通文件或设备文件

*.*     /var/log/file.log   #绝对路径

*.*     /dev/pts/0          #设备文件

2)将日志通过管道送给其他命令处理

*.error |awk ....

3)将日志发送到特定的主机

*.emerg @192.168.10.1

4)”用户”,表示将日志发送到特定的用户

*.error   root   #发送给root用户

*.error   *      #发送所有登录到系统的用户

~~~

4. 连接符号

~~~

.                  #表示大于等于xxx级别的信息;

.=                 #表示等于xxx级别的信息;

.!                 #表示在xxx之外的等级的信息;

~~~

5. 格式定义案例 定义在/etc/rsyslog.conf配置文件中

~~~

# 表示将mail相关的,info级别及以上级别都记录到mail.log文件中

mail.info /var/log/mail.log

# 表示将auth相关的基本为info信息记录到远程主机

auth.=info @10.0.0.1 使用UDP协议发送到远端主机,默认514端口

auth.=info @@10.0.0.1 使用TCP协议发送到远端主机,默认10514端口

# 表示记录与user和error相反的

user.!error

# 表示记录所有日志信息的info级别及以上级别

*.info

# 所有日志及所有级别信息都记录下来

*.*

# 丢弃日志[~]

cron.* ~

~~~

> PS:多个日志来源可以使用,号隔开,如cron.info;mail.info。

## 二 搭建rsyslog统一收集sshd登录日志

### A 客户端配置

~~~

yum install -y rsyslog

# 清除配置文件中注释,最后一行添加服务端类型

cat >/etc/rsyslog.conf <

# 默认配置

$ModLoad imuxsock  # provides support for local system logging

$ModLoad imjournal # provides access to the systemd journal

$WorkDirectory /var/lib/rsyslog

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

$IncludeConfig /etc/rsyslog.d/*.conf

$OmitLocalLogging on

$IMJournalStateFile imjournal.state

*.info;mail.none;authpriv.none;cron.none   /var/log/messages

authpriv.*         /var/log/secure

mail.*              -/var/log/maillog

cron.*             /var/log/cron

*.emerg             :omusrmsg:*

uucp,news.crit     /var/log/spooler

local7.*

#增加配置

authpriv.*         @172.17.19.29:514

EOF

~~~

### B 搭建服务端

~~~

yum install -y rsyslog

# 清除配置文件中注释,在中间加入接收端配置

cat >/etc/rsyslog.conf <

# 默认配置第一部分

$ModLoad imuxsock  # provides support for local system logging

$ModLoad imjournal # provides access to the systemd journal

$WorkDirectory /var/lib/rsyslog

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#--------------新增配置-开始--------------

#开启udp接收日志

$ModLoad imudp

$UDPServerRun 514

$AllowedSender UDP, 172.17.0.0/16

#定义日志格式模板(方便后续logstash读取)

$template myformat,"%TIMESTAMP::10:date-rfc3339% %TIMESTAMP:8:15% %hostname% %fromhost-ip% %syslogtag% %msg%\n"

#定义日志存放路径及文件格式

$template sshRemote,"/data/fw_logs/ssh_%$YEAR%-%$MONTH%-%$DAY%.log"

#调用日志模板和文件格式,并过滤部分信息

:fromhost-ip, !isequal, "127.0.0.1" ?sshRemote;myformat

#定义生成的日志文件和文件夹(也是方便logstash读取)

$FileCreateMode 0644

$DirCreateMode 0755

$Umask 0022

#--------------新增配置-结束--------------

#默认配置第二部分

$IncludeConfig /etc/rsyslog.d/*.conf

$OmitLocalLogging on

$IMJournalStateFile imjournal.state

*.info;mail.none;authpriv.none;cron.none   /var/log/messages

authpriv.*         /var/log/secure

mail.*              -/var/log/maillog

cron.*             /var/log/cron

*.emerg             :omusrmsg:*

uucp,news.crit     /var/log/spooler

local7.*

EOF

~~~

重启服务并验证

~~~

systemctl restart rsyslog

#重启服务后,客户机多次ssh登录验证服务端有没有产生日志

#也可以用logger命令模拟产生日志

logger "rsyslog test from 172.17.19.31" -p authpriv.info

~~~

## 三 rsyslog日志模板:

[参考网址:](https://segmentfault.com/a/1190000003509909)

日志模板中各变量对于的数据样式如下

```sh

msg: Hello, Logger,

rawmsg: <175>Mar 10 15:52:49 LogHeader[13845]: Hello, Logger,

HOSTNAME: vm-28-234-pro01-hp,

FROMHOST: vm-28-234-pro01-hp,

syslogtag: LogHeader[13845]:,

programname: LogHeader,

PRI: 175,

PRI-text: local5.debug,

IUT: 1,

syslogfacility: 21,

syslogfacility-text: local5,

syslogseverity: 7,

syslogseverity-text: debug,

timereported: Mar 10 15:52:49,

TIMESTAMP: Mar 10 15:52:49,

timegenerated: Mar 10 15:52:49,

PROTOCOL-VERSION: 0,

STRUCTURED-DATA: -,

APP-NAME: LogHeader,

PROCID: 13845,

MSGID: -

```

weixin_39978276
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
centos 7 配置rsyslog日志服务接收centos及Windows日志
shinena_deng的博客
10-20 1363
centos 配置日志服务器
rsyslog日志转发配置(服务端和客户端)
12-06
linux rsyslog日志转发配置(服务端和客户端),配置日志转发服务,把系统日志转发到其他linux系统
Centos8 搭建日志服务器rsyslog+loganalyzer
08-12
centos8 搭建rsyslog服务器,接收外部设备发来日志,通过loganalyzer,进行web管理
查看pgsql日志_第14篇:Linux 日志管理--rsyslog规则详解
weixin_39971172的博客
12-04 901
Linux中经常用到ssh远程登录,Linux系统的登录,操作系统计划任务crond和at进程都会产生一系列的消息,并且发送到rsyslog守护进程,再由rsyslog守护进程写入不同的日志文件中。那作为Linux管理员是否想过如下问题.其实下图已经很好地回展示了一切,我们以ssh服务进程为例吧来对上面三个问题做一次FAQ问题1:消息源的进程如何发送消息给rsyslog守护进程?像/usr/sb...
Linux日志服务rsyslog深度解析(下)
最新发布
博客虽小,世界尽在其中
06-08 1078
本文深入探讨了Linux系统中重要的日志服务工具rsyslog的应用与配置。首先,我们简要介绍了rsyslogLinux日志管理中的重要地位,以及它如何帮助系统管理员有效地收集、过滤和存储日志信息。接着,文章详细阐述了rsyslog的基本配置方法,包括如何设置日志消息的接收、过滤和转发规则,以满足不同应用场景的需求。 随后,我们深入讲解了rsyslog的远程存储功能,包括如何将日志消息存储到数据库(如MySQL)和消息队列(如Kafka)等远程服务中。在这部分,我们介绍了如何安装必要的驱动模块、配置rsy
linux————ELK(日志收集系统集群)
a872182042的博客
08-30 2189
日志对于分析系统、应用的状态十分重要,但一般日志的量会比较大,并且比较分散。如果管理的服务器或者程序比较少的情况我们还可以逐一登录到各个服务器去查看、分析。但如果服务器或者程序的数量比较多了之后这种方法就显得力不从心。基于此,一些集中式的日志系统也就应用而生。目前比较有名成熟的有,Splunk(商业)、FaceBook 的Scribe、Apache的Chukwa Cloudera的Fluentd、还有ELK等等。
Linuxrsyslog日志服务(配置,测试、日志转储)
热门推荐
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
02-14 2万+
Rsyslog的全称是 rocket-fast system for log ,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。 它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。
SpringBoot入门系列(十二)统一日志收集
keocce的博客
05-27 200
前面介绍了Spring Boot 异常处理,不清楚的朋友可以看看之前的文章:https://www.cnblogs.com/zhangweizhong/category/1657780.html。 今天主要讲解Spring Boot中的日志收集日志是追踪错误定位问题的关键,特别在生产环境中,我们需要通过日志快速定位解决问题。 Springboot的日志的框架比较丰富,而且Springboot本身就内置了日志功能,不过实际项目中会出现:只记录想要的日志日志输出到磁盘,按天归档,日志信息同步到其他...
Linux 通过rsyslog配置日志服务器
12-02
详细介绍如果配置Linux日志服务器,包括客户端和服务器端的配置。供参考!
Linux_如何处理系统日志系统轮转
01-09
知道了在Linux系统中如何进行rsyslog 系统日志管理和 logrotate日志轮转。 拼搏到无能为力,坚持到感动自己。 简述: 1.处理日志程序 a。rsyslog b。其他不同的应用 2.常见的日志文件 ar/log/messages ar/log/...
Linux配置日志服务器的图文教程
01-10
本文主要介绍的是关于Linux配置日志服务器的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧 日志服务器配置文件:/etc/rsyslog.conf 服务器端: 服务器IP如下: 编辑日志服务器的配置...
elk接收linux安全日志,ELK学习笔记(syslog日志收集
weixin_35565522的博客
05-02 520
本帖最后由 唯品会SRC 于 2017-4-12 16:21 编辑2de742e9780a2bf57f7b497e33676900.jpg (16.69 KB, 下载次数: 30)2017-4-12 16:17 上传收日志,更要懂日志!生产环境收集 syslog 日志是安全审计的重要举措之一。我在搭建 ELK 服务器期间,生产环境收集的第一类日志就是 CentOS 系统的 syslog 日志。生产...
【系列文章模板】标题示例:Python 机器学习入门之pandas的使用
weixin_47064102的博客
08-03 817
文章目录前言一、pandas是什么?二、使用步骤总结 前言 随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 正文: 一、pandas是什么? pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。Pandas 纳入了大量库和一些标准的数据模型,提供了高效地操作大型数据集所需的工具。pandas提供了大量能使我们快速便捷地处理数据的函数和方法。你很快就会发现,它是使Python成为强大而高效的数据分析环境的重要因素
重启rsyslog服务时出现问题(误删/var/log/messages解决方案)
渡江客涂鸦板
08-29 1万+
今天修改了/etc/rsyslog.conf中的内容后,想着要通过systemctl restart rsyslog重启服务,但是执行完命令后,总感觉/etc/rsyslog.conf中修改的内容没有生效。 于是乎就去看了下/var/log/messages下的日志文件,发现有这样一行提示:Mar  1 21:33:39 localhost rsyslogd-2027: imjournal: f
linux主机服务器日志采集,Linux通过Rsyslog搭建集中日志服务器
weixin_30193269的博客
04-29 453
(一)Rsyslog简介ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地。rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。rsyslog守护进程可以被配置成两种环境,一种是配置成日志收集服务器rsyslog进程可以从网络中收集其它主机...
Linux】解决rsyslog服务占用内存过高
康师傅没有眼泪
06-25 9255
通常情况下rsyslogd大小只有5M,所以将内存上限设置为8M,然后将绝对内存限制为80M。 重启服务
关于一起linux secure安全日志写入异常分析处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-20 1万+
一、问题描述 检查发现2022年5月份的secure日志里混入了2021年10月份的日志信息,很是不解。 二、分析出来 日志报错: sshd[17263]: Did not receive identification string from 192.168.1.1 #表1.1ssh本地主机建立连接时,返回时出现问题,认证信息丢弃 2)查看与绕行相关的日志,发现异常,日志被写入旧的脏数据 其中: The imjournal module bellow is now used as a
Rsyslog日志格式实例:记录IP地址而非主机
三禾工作室
09-10 4151
Rsyslog日志格式实例:记录IP地址而非主机名 1.背景 在 Rsyslog日志平台-日志工作流引擎,中介绍了基于rsyslog日志采集中心的案例。这里rsyslog都是V8.2以上版本。 日志客户(192.168.1.29)将日志发送到日志采集中心(192.168.2.27)的时候,日志中的地址默认是发送日志主机的名称或者IP,但不同的Linux有区别。这样汇聚到rsyslog日志采集中心就会出现无法日志记录中没有IP,如下: Sep 10 10:13:55 localhost.localdomai
搭建rsyslog日志服务器和loganalyzer日志分析工具.pdf
11-08
搭建 Rsyslog 日志服务器和Loganalyzer日志分析工具.pdf详细介绍了如何搭建 Rsyslog 日志服务器和 Loganalyzer 日志分析工具。首先,介绍了 Rsyslog 的基本概念和功能,以及 Rsyslog 日志服务器的优势和新功能。同时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值