linux rsyslog用法

最新推荐文章于 2024-06-07 07:30:00 发布
最新推荐文章于 2024-06-07 07:30:00 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: linux syslog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuyin1018/article/details/80301274
版权

参考资料

https://blog.csdn.net/xianjie0318/article/details/72920400

https://blog.csdn.net/myloveqingmu/article/details/53501987

在此基础上测试;

1、linux syslog

Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。

大部分Linux发行版默认的日志守护进程为 syslog(后续升级rsyslog),位于 /etc/syslog 或 /etc/syslogd,默认配置文件为 /etc/syslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。

syslog 是一个系统日志记录程序,在早期的大部分 Linux 发行版都是内置 syslog,让其作为系统的默认日志收集工具,后来被 rsyslog 所代替了,较新的Ubuntu、Fedora 等等都是默认使用 rsyslog 作为系统的日志收集工具。

rsyslog的全称是 rocket-fast system for log,它提供了高性能,高安全功能和模块化设计。rsyslog能够接受从各种各样的来源,将其输入,输出的结果到不同的目的地。rsyslog可以提供超过每秒一百万条消息给目标文件。

2、rsyslog配置

1)rsyslog版本

[root@localhost Desktop]# rsyslogd -version
rsyslogd 5.8.10, compiled with:
FEATURE_REGEXP: Yes
FEATURE_LARGEFILE: No
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
32bit Atomic operations supported: Yes
64bit Atomic operations supported: Yes
Runtime Instrumentation (slow code): No

See http://www.rsyslog.com for more information.

2)rsyslog配置文件

配置文件分为三部分,#### MODULES ####,#### GLOBAL DIRECTIVES ####,和#### RULES ####

#### MODULES ####主要针对接收做配置

#### GLOBAL DIRECTIVES ####主要全局配置,比如日志格式等

#### RULES ####主要配置哪些日志写入哪些文件

3、syslog系统函数

void openlog(const char *ident, int option, int facility);
void syslog(int priority, const char *format, ...);

void closelog(void);

openlog函数(打开日志设备) : 
    ident - 标记,添加到每行日志前,通常用当前程序名。 
    option - 选项,常用值为LOG_PID即包含每个消息的PID,更详细信息参考man syslog。 
    facility - 记录日志的程序的类型,配置文件可根据不同的登录类型来区别处理消息,常用值LOG_DAEMON即其它系统守护进程,一般为自己创建的守护进程。更详细信息参考man syslog。
syslog函数(生成日志) : 
    priority - 优先级,说明消息的重要性,可取值如下: 
    LOG_EMERG 系统不可用 
    LOG_ALERT 消息需立即处理 
    LOG_CRIT 重要情况 
    LOG_ERR 错误 
    LOG_WARNING 警告 
    LOG_NOTICE 正常情况,但较为重要 
    LOG_INFO 信息 
    LOG_DEBUG 调试信息
closelog函数(关闭日志设备)。

3、具体实例

1)环境

A,B两台服务器,A产生log并发送到syslog服务器,B作为syslog接收服务器;

2)A服务器配置

2.1)产生log的程序代码

include <syslog.h>
int main(int argc, char **argv)
{
    int k = 0;
    openlog("HHHH", LOG_PID, LOG_USER);
    for (k = 0; k < 100000; k++)
    {
        syslog(LOG_INFO, "informational message %d", k);
    }
    closelog();
    return 0;

}

syslog类型填写user,syslog级别填写info;

2.2)rsyslog.conf配置

#### MODULES ####不需要修改

#### GLOBAL DIRECTIVES ####不需要修改

#### RULES ####

默认任何类型的info级别以上的log都会记录到/var/log/messages文件中

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

去掉注释,修改syslog服务器的ip,@@表示使用tcp,默认端口514

# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
$WorkDirectory /var/lib/rsyslog # where to place spool files
$ActionQueueFileName fwdRule1 # unique name prefix for spool files
$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)
$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
$ActionQueueType LinkedList   # run asynchronously
$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
*.* @@192.168.1.113:514

# ### end of the forwarding rule ###

3)B服务器配置

3.1)rsyslog.conf配置

#### MODULES ####作为接收服务器,需要去掉tcp或者udp的注释,此例中使用tcp接收

# Provides TCP syslog reception
$ModLoad imtcp

$InputTCPServerRun 514

#### GLOBAL DIRECTIVES ####不需要修改

#### RULES ####可以不修改

默认任何类型的info级别以上的log都会记录到/var/log/messages文件中

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

3.2)防火墙配置,放开tcp 514端口

4)测试

4.1)重启A,B服务器的rsyslog服务;

4.2)启动A服务器产生log的程序,在B服务器上查看/var/log/messages文件,可以看到A服务器产生的log

4.3)存在的问题

4.3.1)当log数量超过200,就会产生如下错误,原因是rsyslog默认有限速配置;

May 30 15:29:04 localhost rsyslogd-2177: imuxsock begins to drop messages from pid 62456 due to rate-limiting

rsyslog的默认配置是5秒日志数量不超过200条,如下

$SystemLogRateLimitInterval 5

$SystemLogRateLimitBurst 200

想要不限速,可以在A服务器的rsyslog.conf中添加或者修改为:

$SystemLogRateLimitInterval 0

4.3.2)A服务器产生的log在A服务器的/var/log/messages也会记录一份,冗余;

如果想去掉,修改A服务器的rsyslog.conf,添加user.none,不记录user的日志

*.info;mail.none;authpriv.none;cron.none;user.none                /var/log/messages

4.3.3)A服务器产生的所有log都会发送到B服务器的/var/log/messages;

修改A服务器的rsyslog.conf中转发规则,只有user.info级别以上的log发送到syslog服务器;

user.info @@192.168.1.113:514


yuyin1018
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 通过rsyslog配置日志服务器
12-02
详细介绍如果配置Linux的日志服务器,包括客户端和服务器端的配置。供参考!
rsyslog交叉编译打包
08-06
rsyslog是一款强大的系统日志收集和转发工具,广泛应用于Linux环境,用于处理和记录来自不同系统的日志信息。在嵌入式设备或资源有限的系统中,有时我们需要对rsyslog进行交叉编译,以便在目标平台上运行。交叉编译...
rsyslog 使用教程
林中静月下仙的博客
04-17 4796
1. rsyslog介绍 Rsyslog的全称是 rocket-fast system for log,它提供了高性能,高安全功能和模块化设计。rsyslog能够接受从各种各样的来源,将其输入,输出的结果到不同的目的地。rsyslog可以提供超过每秒一百万条消息给目标文件。 特点: 多线程 可以通过许多协议进行传输UDP,TCP,SSL,TLS,RELP; 直接将日志写入到数据库; 支...
Linux日志服务rsyslog深度解析(上)
最新发布
博客虽小,世界尽在其中
06-07 2007
本文深入探讨了Linux系统中日志服务rsyslog的核心功能、配置方法以及在实际应用中的最佳实践。rsyslog作为Linux系统日志管理的关键组件,不仅负责收集、处理和转发系统日志,还能为系统管理员提供强大的日志分析工具,帮助快速定位和解决系统问题。 首先,文章介绍了rsyslog的基本概念和工作原理,包括其作为系统日志守护进程的角色,以及如何通过配置文件实现日志的收集、过滤和存储。接着,文章详细解析了rsyslog的配置文件,包括全局配置、模板定义、过滤规则等关键部分,并提供了实用的配置示例。 在深入
Linux系统上的rsyslog服务
echo_bright_的博客
01-30 3830
项目中运用到了syslog的远程打印,初次接触,抽空了解如下。 Linux中用来实现日志功能的服务为rsyslog,在centOS5及更早版本中使用的是syslogrsyslogsyslog的增强版本。rsyslog一般默认都会安装且设置为自动启动。服务控制命令为: $ service rsyslog restart(或start、stop) rsyslog的配置文件为/etc/rsyslo...
linuxsyslog使用说明
m0_68431045的博客
12-14 3646
几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(UDP)方式传送到远端服务器,远端接收日志服务器必须通过syslogd监听UDP 端口514,并根据 syslog.conf配置文件中的配置处理本机,接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。程序,守护进程和内核提供了访问系统的日志信息。另外,作为syslog的替代程序的新一代工具是syslog-ng,syslog-ng具有很强的网络功能,可以方便地把多台机器上的日志保存到一台中心日志服务器上。
rsyslog 服务
xiojing的博客
10-16 1292
场景介绍: (1)用户登录产生了一条log. (2)定时任务跑脚本发生错误.需要记录log. (3)或者其他log. 总之就是:产生log的原因很多,log分类也很多,也可能来自不同服务器.如何做到简单有效稳定地收集log ?.  下面我们看一条shell命令: logger  -p  local7.info  “{\”type\”:\”login\”
rsyslog所有用户日志审计
12-22
rsyslog是一个开源的日志记录 daemon,用于在 Linux 和 Unix 系统中收集、处理和记录日志信息。rsyslog 可以从多种来源收集日志信息,包括系统日志、应用程序日志和安全日志等。rsyslog 提供了灵活的配置选项,可以...
linux 定时任务详解
01-20
习惯了使用 windows 的计划任务,使用 linux 中的 crontab 管理定时任务时很不适应。 所以把基本的用法总结如下。 创建一个简单的定时任务 每分钟输出一次当前的时间,输出到用户家目录下的 time.log 文件中。 $ ...
Linux 系统中手动滚动日志的方法
09-14
Linux 系统通常使用 `logrotate` 命令来执行这个过程。 **日志滚动的工作原理:** 日志滚动涉及一系列文件重命名操作。当滚动发生时,最旧的日志文件(例如:log.7)会被删除,其他文件按照编号依次递增,当前的...
rsyslog日志平台--日志工作流引擎
三禾工作室
01-28 3671
Linux下面自然的选择是rsyslog 一、基本配置实验 网上大量文章都不是很靠谱,测试平台CentOS7和loongxin系统,服务端为192.168.10.58(centos),客户端为192.168.14.211(loongson) 1. 客户端配置:客户端修改 /etc/rsyslog.conf 把尾部#*.* @@remote-host:514删除#,并把@@替换为@,remote-host替换为日志服务器主机IP即可; *.* @192.168.10.58:514 #UDP
rsyslog是怎么提取日志内容的RPI部分的代码(c语言)
百度一下 猎人社区
06-20 184
在该代码中,我们首先调用openlog函数来打开系统日志,其中“myapp”表示当前应用程序的名称,“LOG_CONS | LOG_PID”和“LOG_USER”分别表示日志显示方式和日志分类。因此,在Raspberry Pi上,我们可以通过rsyslogsyslog函数相结合,实现对系统日志内容的提取、过滤和处理,为系统日志管理带来便利。在该规则中,$msg是一个rsyslog内置的变量,表示当前日志消息的内容,contains则是一个内置的操作符,表示匹配字符串是否包含指定关键字。
Linux 启动顺序
ROC的专栏
11-27 7624
 Linux 启动顺序:1、 BIOS自检2、 运行系统内核并检测硬件3、 运行系统的第一个进程init4、 init读取系统引导配置文件/etc/inittab中的信息进行初始化             /etc/rc.d/rc.sysinit------系统初始化脚本             /etc/rc.d/rcX.d/[KS]*------根据运行级别配置服务             /
rsysloglinux简单开启rsyslog自定义日志记录(C,C++)
sirria1的专栏
03-26 3992
功能目标需求:记录应用的日志到指定的目录文件 开发: 1.配置: rsyslog配置增加自定义的日志路径,rsyslog的配置文件为rsyslog.conf,一般在/etc目录下,vi打开后增加配置 local2.* /root/logs/log1.log local3.* ...
syslog详解及配置远程发送日志和远程日志分类
huangbaokang的博客
05-22 2万+
1、日志协议syslog 1.1、syslog简介 完善的日志分析系统应该能够通过多种协议(包括syslog等)进行日志采集并对日志分析,因此日志分析系统首先需要实现对多种日志协议的解析。其次,需要对收集到的海量日志信息进行分析,再利用数据挖掘技术,发现隐藏再日志里面的安全问题。 Syslog再UNIX系统中应用非常广泛,它是一种标准协议,负责记录系统事件的一个后台程序,记录内容包括核心、系统程序的运行情况及所发生的事件。Syslog协议使用UDP作为传输协议,通过514端口通信,Syslog使用syslo
syslog应用详解
一杯茶品人生沉浮,平常心造万千世界
05-02 3505
<br />syslogLinux的日志子系统,本文详细讲述了syslog日志文件的字段含义、syslog如何应用和syslog的配置,并描述了c语言应用syslog的几个接口。<br /><br />日志概念<br />      日志文件详细地记录了系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是:审核和监测。<br />      Linux 系统的日志主要分为两种类型 :<br />      1. 进程所
linux 终端 log,log命令_Linux log 命令用法详解:扩展日志模块,提供syslog和pipe,以及日志采样...
weixin_42361133的博客
05-04 853
ngx_http_log_module扩展日志模块,提供syslog和pipe,以及日志采样。开启syslog日志功能需要在编译是添加参数--with-syslog,否则syslog不会生效。syslog模块兼容syslogd。使用syslog-ng需要修改配置文件以支持udp和unix-dgram,并屏蔽unix-stream:source s_sys {file ("/proc/kmsg" p...
关于syslog
热门推荐
smstong的成长轨迹
05-13 3万+
syslog架构 Unix/Linux系统中的大部分日志都是通过一种叫做syslog的机制产生和维护的。syslog是一种标准的协议,分为客户端和服务器端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息,并做出保存到特定的日志文件中或者其他方式的处理。 在Linux中,常见的syslog服务器端程序是syslogd守护程序。这个程序可以从三个地方接收日志消息:(1
"Linux操作系统安全知识体系及账户管理的基础概念和方法
普通用户是普通使用者,能使用Linux的大部分资源但受一定权限限制。用户管理涉及的文件有用户账号文件"/etc/passwd"、用户密码文件"/etc/shadow"和用户组文件"/etc/group"等,这些文件的管理和权限设置都对账户安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值