rsyslog日志管理

已于 2024-05-08 08:38:37 修改
阅读量288 收藏
点赞数
文章标签: linux 运维
于 2023-05-30 14:12:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43387234/article/details/130844970
版权
文章介绍了rsyslog的配置,包括设施和优先级,配置文件路径,全局指令,模板,输出通道和规则设置。讲解了日志记录的规则配置,如facility.priority目标,以及各种日志路径和功能,如/var/log/secure,/var/log/messages等。此外,还提到了journalctl的常用命令用于查看和管理日志。
摘要由CSDN通过智能技术生成

rsyslog配置介绍

  • facility:设施,从功能或程序上对日志进行归类
    auth,authpriv,cron,daemon,ftp,kern,lpr,mail,news,user,uucp,local0-local7,syslog
  • Priority 优先级别,从低到高排序
    debug,info,notice,warn,err,crit,alert,emerg
  • 配置文件路径
    主配置文件:/etc/rsyslog.conf
    从配置文件:/etc/rsyslog.d/*.conf
  • 配置文件格式
    Global directives:设置rsyslog全局属性,加载相关模块
    Templates:指定日志格式,在rules中引用
    Output Channels:提供多种类型的输出通道,在rules中引用
    RULES(selector + action):日志记录相关的规则配置
  • RULES配置说明

RULES配置格式:facility.priority;facility.priority…… target
facility:
” :所有级别
none:没有级别,即不记录
priority:指定级别(含)以上的所有级别
=priority:仅记录指定级别的日志信息
target:
文件路径:通常在/var/log目录下,文件路径前的“-”表示异步写入
用户:将日志事件通知给指定的用户,“”表示登陆的所有用户
日志服务器:@host,把日志送往指定的远程服务器
管道:|command,转发给其他命令处理

  • 常用日志格式
    产生日志的日期 时间 主机 进程(PID):事件内容
  • 系统常用日志介绍

主机日志管理

主机常用日志

日志路径功能相关命令
/var/log/secure系统安装与认证相关日志,文本格式
/var/log/btmp用户失败尝试登陆相关日志,二进制格式lastb
/var/log/wtmp当前系统上,用户正常登陆的县官日志信息,二进制格式last
/var/log/lastlog每一个用户最近一次的登陆信息,二进制格式lastlog
/var/log/dmesg系统引导过程中的日志信息,文本格式dmesg
/var/log/messages系统中大部分日志信息,文本格式
/var/log/anaconda计划任务日志,文本格式

journalctl常见用法

  • journalctl 查看所有日志,默认情况下,只保存本次启动的日志

  • jounalctl -k 查看内核日志(不显示应用日志)

  • journalctl -b 查看本次启动的日志

  • journalctl --since=“2023-05-01 13:00:00”
    –since “20 min ago”
    –since yesterday
    –since 09:00 --until “1 hour ago”
    查看指定时间日志

  • journalctl -n 20 显示尾部指定行数日志

  • journalctl -f 实时滚动显示最新日志

  • journalctl _PID=222 显示指定进程的日志

  • journalctl -u nginx 查看指定服务的日志

rsyslog配置文件

[root@han ~]# egrep -v "^$|^#" /etc/rsyslog.conf 
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$ModLoad imudp
$UDPServerRun 514	#开启udp514端口,接收客户端日志
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
local6.*                                                /var/log/ssh.log
*.*							@192.168.1.1   #把日志发送到源端服务器
$ModLoad imfile		#日志日志格式为文本格式
$InputFilePollInterval 5
$InputFileName /home/access.log		#自定义日志格式文件路径
$InputFileTag Nginx:
$InputFileStateFile nginx_state.file
$InputFileSeverity debug
$InputFileFacility local0
$InputRunFileMonitor 
[root@han ~]#
韩华盛
关注
rsyslog所有用户日志审计
yeyiboy的博客
12-22 597
rsyslog所有用户日志审计
Rsyslog日志的类型和级别
小憩予树
06-04 8672
Rsyslog日志级别:(从上到下级别越来越高) 7 debug 调试信息的日志日志信息最多 6 info 一般信息的日志,最常用 5 notice 最具有重要性的普通条件的信息 4 warning
安装、配置rsyslog日志服务器
ly4983的专栏
06-28 2553
v /path/to/your/syslog-ng.conf:/etc/syslog-ng/syslog-ng.conf: 将宿主机上的Syslog-ng配置文件映射到容器内部,用于自定义Syslog-ng的行为。-p 601:601: 将容器的601端口(TCP协议)映射到宿主机的601端口,也是用于接收Syslog消息,但是通过TCP。-p 514:514/udp: 将容器的514端口(UDP协议)映射到宿主机的514端口,用于接收Syslog消息。image: 指定使用的Docker镜像。
日志管理rsyslog
szb521的博客
08-31 308
日志管理rsyslog
rsyslog日志服务管理及实验
jeker的博客
01-01 455
#课文内容 ##系统日志管理 ###系统日志介绍 ###sysklogd 系统日志服务 ###rsyslog 系统日志服务 ###ELK ##rsys日志管理 ###系统日志术语 ###rsyslog相关文件 ###rsyslog配置文件 ###启用网络日志服务 ###常见日志文件 ##日志管理工具journalctl #课文实验 ##实验内容:利用mysql存储日志实验 ###目标 ###环境准...
Linux日志管理rsyslog系统日志和logrotate日志轮转)
乐柚的博客
08-07 1125
Linux日志管理rsyslog系统日志和logrotate日志轮转) 一、rsyslog系统日志管理 系统中的绝大多数日志文件是由 rsyslogd 服务来统一管理的,只要各个进程将信息给予这个服务,它就会自动地把日志按照特定的格式记录到不同的日志文件中。 观察rsyslogd程序,可以看出此服务正在运行。 常见的系统日志文件如图 1. 网站日志管理示例: 安装软件 虚拟机网络切换为桥接模式 重启网络 观察日志 查看ip 并打开网页浏览此ip地址 观察发现日志更新 2.rsyslogd配
Rsyslog日志管理
Ruixycowboy的博客
08-13 2558
Linux日志管理 时间是日志管理的必要条件,必须要保持准确 CentOS系统中综合日志记录的内容存放在 /var/log/messages 文件中 日志的事件记录格式:     日期时间   主机   进程[pid]:   事件内容 在Centos6、7开始日志管理的有rsyslog服务、ELK,在本文中介绍的是rsyslog rsyslog服务 因为不同的应用程序有不同特性,为便...
rsyslog 日志管理服务
qfxulei的博客
08-04 653
一:日志的重要性 日志分类:系统日志,进程日志,应用程序日志 记录日志的用处: 排错,追溯事件,统计流量,审计安全行为 rsyslogd:只负责绝大部分日志记录,和系统操作有关,安全,认证,计划任务... 处理分析日志: 1.少量日志使用vim cat tail grep awk这些文档处理程序查看和检索 2.大量日志可以用splunk、elk 日志存放位置: 存放本地 /var/log 日志服务启动:systemctl start rsyslog 日志配置文件:/etc/rsyslog.
日志管理 —— rsyslog 系统日志管理 logrotate 日志轮转
weixin_46687989的博客
08-06 738
一、rsyslog系统日志管理 1、关心问题:哪类程序---》 产生的什么日志----》 放到什么地方 2、处理日志的进程 (1) 第一类: rsyslogd: 系统专职日志程序。处理绝大部分日志记录, 系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息 (2) 第二类: httpd/nginx/mysql: 各类应用程序,可以以自己的方式记录日志. 3、观察 rsyslogd程序 [root@localho...
Linuxrsyslog日志管理及logrotate日志轮转
Charon9688的博客
03-01 1101
一、rsyslog日志管理 rsyslogd: 系统专职日志程序。 功能:处理绝大部分日志记录,系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息。 1.rsyslogd配置 相关程序:yum install rsyslog(默认已安装) 启动程序:systemctl start rsyslog.service 重启程序:systemctl restart rsyslog 查...
系统日志管理——rsyslog
dodobibibi的博客
10-16 727
系统的日志管理 cat /var/log/messages 查看日志 rsyslog.service 采集日志服务 自动默认放在/var/log/messages中 54 60 57 64 信息日志 邮件信息 服务信息 定时信息有各自的地方 *.*所有级别的所有日志 debug 开发调试程序 日志级别低 显示的多详细 ...
Linux】18_日志管理rsyslog系统日志管理
weixin_43498449的博客
01-27 1023
关心问题:哪类日志 ----->产生什么样的日志------>放到什么地方 处理日志进程 第一类: rsyslogd:系统专职日志程序,处理绝大部分日志记录。系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息 第二类: httpd/nginx/mysql等各类应用程序,可以以自己的方式记录日志 常见的日志文件(系统、进程、应用程序) 了解部分 rsyslogd配置 ①安装相关程序: yum install rsyslog logrotate ②启动程序:
rsyslog-日志管理 logrotate-日志轮转
XiaoLinZuoTi的博客
09-12 364
日志管理的方式,以及怎么自己写一个管理日志的小脚本,其实也不能算脚本
rsyslog日志级别以及自定义日志文件的设置方法
热门推荐
Tatajizhi的专栏
09-22 1万+
最新的操作系统
linux学习15】日志管理rsyslog、logrotate介绍
葫芦娃y的博客
04-03 516
linux学习15】日志管理rsyslog、logrotate介绍
linuxrsyslog日志服务(配置,测试、日志转储)
最新发布
qq_43331089的博客
09-09 948
Rsyslog的全称是,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日 志消息。
rsyslog日志级别 配置日志输出级别
河静
12-24 3940
日志级别如下: 等级数值 等级名称 说明 7 debug 调试程序产生的的日志 6 info 基本信息说明,无伤大雅 5 notice 虽然是正常信息,但比info还需要被注意到的一些信息内容 4 warning(warn) 警示的信息,可能有问题,但是还不至于影响某个daemon的运行。基本上info、notice、warning这三个等级没啥事,就是告诉你一些基本信息 3 err(error) 一些重大的错误信息,比如配置文件写错导致daemon无法启动,通常可以根据er
syslog的日志过滤规则和转发配置
互联网知识分享
12-11 950
当配置syslog的日志过滤规则时,可以根据不同的设备或应用程序、日志消息的严重程度以及产生日志的主机名称等条件进行过滤。例如,对于安全相关的日志,可以将auth、authpriv等设施的日志消息设置为较高的严重程度,以便及时发现和处理安全事件。总的来说,syslog提供了丰富的日志过滤规则和转发配置选项,可以根据实际需求对日志进行灵活的管理和处理。在以上示例中,使用了不同的转发规则对日志进行了传输和处理,可以根据实际需求来配置不同的转发规则,例如将日志发送到远程服务器、写入本地文件或执行特定的命令等。
rsyslog日志转发
05-26
rsyslog是一个常用的Linux系统日志管理工具,它可以将系统日志发送到远程服务器或者其他应用程序进行处理和存储。如果你想要将rsyslog日志转发到另一个服务器,请按照以下步骤操作: 1. 编辑rsyslog配置文件:打开rsyslog的配置文件 /etc/rsyslog.conf,找到以下行: ``` # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 ``` 将上面的注释去掉,并将514替换为你想要使用的端口号。 2. 配置rsyslog的转发规则:在配置文件的末尾添加以下行: ``` *.* @@[remote_server_ip]:[port] ``` 其中,remote_server_ip是你想要将日志转发到的远程服务器的IP地址,port是远程服务器上用于接收日志的端口号。 3. 重启rsyslog服务:运行以下命令以重新启动rsyslog服务: ``` sudo systemctl restart rsyslog ``` 现在,rsyslog将会将所有的日志消息转发到指定的远程服务器和端口。你可以在远程服务器上设置其他应用程序来接收和处理这些日志消息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

韩华盛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值