devbox
小蓝xlanll
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Rsyslog

作者:小蓝xlanll | 2024-06-02 20:39:12

unit rsyslog.service not found
1、相关概念

facility:设施,从功能或程序上对日志进行归类

auth authpriv cron daemon ftp kern lpr mail news security(auth) user uucp local0-local7 syslog

Priority:优先级别,从低到高排序

debug info notice warn(warning) err(error) crit(critical) alert emerg(panic)

2、rsyslog服务

程序包:rsyslog

主程序:/usr/sbin/rsyslogd

CentOS 6:service rsyslog {start|stop|restart|status}

CentOS 7:/usr/lib/systemd/system/rsyslog.service

库文件: /lib64/rsyslog/*.so

配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf

配置文件格式:由三部分组成

  • MODULES:相关模块配置

  • GLOBAL DIRECTIVES:全局配置

  • RULES:日志记录相关的规则配置

RULES配置格式:facility.priority; facility.priority… target

  • facility:设施

*: 所有的facility

facility1,facility2,facility3,...:指定的facility列表

  • priority:级别

*: 所有级别
none:没有级别,即不记录
PRIORITY:指定级别(含)以上的所有级别
=PRIORITY:仅记录指定级别的日志信息

  • target:

文件路径:通常在/var/log/,文件路径前的-表示异步写入
用户:将日志事件通知给指定的用户,* 表示登录的所有用户
日志服务器:@host,把日志送往至指定的远程服务器记录
管道: | COMMAND,转发给其它命令处理

  1. ~]# cat /etc/rsyslog.conf |grep -v "^ *$"
  2. ################# MODULES #############################################
  3. $ModLoad imuxsock # 为本地系统日志记录提供支持 (e.g. via logger command)
  4. $ModLoad imjournal # 提供对systemd日志的访问
  5. #$ModLoad imklog # 读取内核消息 (the same are read from journald)
  6. #$ModLoad immark  # 提供了--MARK--消息功能
  7. # 提供UDP系统日志接收
  8. #$ModLoad imudp
  9. #$UDPServerRun 514
  10. # 提供TCP系统日志接收
  11. #$ModLoad imtcp
  12. #$InputTCPServerRun 514
  13. ################# GLOBAL DIRECTIVES ####################################
  14. # 在哪里放置辅助文件
  15. $WorkDirectory /var/lib/rsyslog
  16. # 使用默认的时间戳格式
  17. $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
  18. # 文件同步功能默认为禁用。此功能通常不是必需的
  19. #$ActionFileEnableSync on
  20. # 将所有配置文件包含在/etc/rsyslog.d/
  21. $IncludeConfig /etc/rsyslog.d/*.conf
  22. # 通过本地日志套接字关闭信息接收;本地消息现在通过imjournal检索。
  23. $OmitLocalLogging on
  24. # 文件在日志中存储位置
  25. $IMJournalStateFile imjournal.state
  26. ################# RULES ##########################################
  27. #kern.*                                    /dev/console
  28. *.info;mail.none;authpriv.none;cron.none   /var/log/messages
  29. authpriv.*                                 /var/log/secure
  30. mail.*                                     -/var/log/maillog
  31. cron.*                                     /var/log/cron
  32. *.emerg                                    :omusrmsg:*
  33. uucp,news.crit                             /var/log/spooler
  34. local7.*                                   /var/log/boot.log
  35. # ### begin forwarding rule #######################################
  36. #$ActionQueueFileName fwdRule1 # unique name prefix for spool files
  37. #$ActionQueueMaxDiskSpace 1g   #  1GB的空间限制 (use as much as possible)
  38. #$ActionQueueSaveOnShutdown on # 在关机时将消息保存到磁盘
  39. #$ActionQueueType LinkedList   # 异步运行
  40. #$ActionResumeRetryCount -1    # 如果主机停机,无限重试
  41. # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
  42. #*.* @@remote-host:514
  43. # ### end of the forwarding rule ##################################
3、系统日志
  • /var/log/secure:系统安装日志,文本格式,应周期性分析
  • /var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看
  • /var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看
  • /var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看
  • /var/log/dmesg:系统引导过程中的日志信息,文本格式,专用命令dmesg查看
  • /var/log/messages :系统中大部分的信息
  • /var/log/anaconda/* : anaconda的日志
4、journalctl命令

​ Systemd统一管理所有 Unit 的启动日志。带来的好处就是,可以只用journalctl一个命令,查看所有日志(内核日志和应用日志)

配置文件:/etc/systemd/journald.conf

常用选项:

  • -k:查看内核日志
  • -b -0:查看系统本次启动的日志
  • -b -1:查看上一次启动的日志
  • --since "2017-01-10" --until "2017-01-11 03:00":查看指定时间的日志
  • -n 20:显示尾部20行的日志
  • -f:实时滚动显示最新日志
  • /usr/sbin/sshd:查看指定服务的日志
  • /usr/bin/bash:查看某个路径的脚本的日志
  • _PID=1:查看指定进程的日志
  • _UID=0:查看指定用户的日志
  • -u httpd.service:查看某个 Unit 的日志
  • -u httpd.service -f:实时滚动显示某个 Unit 的最新日志
  • -p err:查看指定级别及以上的日志
  • --no-pager:不分页输出
  • -o json:以 JSON 格式(单行)输出
  • -o json-pretty:以 JSON 格式(多行)输出,可读性更好
  • --disk-usage:显示日志占据的硬盘空间
  • --vacuum-size=1G:指定日志文件占据的最大空间
  • --vacuum-time=1years:指定日志文件保存多久
5、logrotate程序

​ logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除,并创建新的日志文件,称为日志转储或滚动。可以根据日志文件的大小,也可以根据其天数来转储,这个过程一般通过 cron 程序来执行

配置文件:/etc/logrotate.conf/etc/logrotate.d/*

配置文件参数:

  • compress 通过gzip 压缩转储以后的日志
  • nocompress 不需要压缩时,用这个参数
  • copytruncate 用于还在打开中的日志文件,把当前日志备份并截断
  • nocopytruncate 备份日志文件但是不截断
  • create mode owner group 转储文件,使用指定的文件模式创建新的日志文件
  • nocreate 不建立新的日志文件
  • delaycompress 和 compress 一起使用时,转储的日志文件到下一次转储时才压缩
  • nodelaycompress 覆盖 delaycompress 选项,转储并压缩
  • errors address 专储时的错误信息发送到指定的Email 地址
  • ifempty 即使是空文件也转储,是缺省选项
  • notifempty 如果是空文件的话,不转储
  • mail address 把转储的日志文件发送到指定的E-mail 地址
  • nomail 转储时不发送日志文件
  • olddir directory 转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统
  • noolddir 转储后的日志文件和当前日志文件放在同一个目录下
  • prerotate/endscript 在转储以前需要执行的命令可以放入这个对,这两个关键字必须单独成行
  • postrotate/endscript 在转储以后需要执行的命令可以放入这个对,这两个关键字必须单独成行
  • daily 指定转储周期为每天
  • weekly 指定转储周期为每周
  • monthly 指定转储周期为每月
  • size 大小 指定日志超过多大时,就执行日志转储
  • rotate count 指定日志文件删除之前转储的次数,0 指没有备份,5 指保留5个备份
  • Missingok 如果日志不存在,提示错误
  • Nomissingok如果日志不存在,继续下一次日志,不提示错误
6、rsyslog服务实现将日志记录到远程主机

​ 1)rsyslog服务器端配置

  1. ~]# vim /etc/rsyslog.conf
  2. #### MODULES ####
  3. # Provides TCP syslog reception
  4. $ModLoad imtcp
  5. $InputTCPServerRun 514
  6. #### RULES ####
  7. local2.*     /data/192.168.0.7-sshd.log
  8. ~]# systemctl restart rsyslog

​ 2)客户端,这里以sshd服务为例

  1. ~]# vim /etc/ssh/sshd_config  #修改sshd记录日志的设施
  2. SyslogFacility local2  #local2为自定义设施
  3. LogLevel INFO
  4. ~]# vim /etc/rsyslog.d/sshd.conf
  5. local2.*        @@192.168.0.8  #将local2设施的所有级别的日志都发送给0.8主机
  6. ~]# systemctl restart sshd
  7. ~]# systemctl restart rsyslog

​ 3)测试,在其他客户端ssh登录192.168.0.7sshd服务器,在192.168.0.8日志服务器查看日志

  1. ~]# cat /data/192.168.0.7-sshd.log
  2. Jun 24 16:37:30 centos7 sshd[58547]: Accepted password for root from 192.168.0.6 port 52420 ssh2
7、实现rsyslog将日志记录于MySQL中,并且通过loganalyzer展示数据库中的日志

​ 1)准备需要的软件包

~]# yum -y install rsyslog-mysql httpd mariadb-server php php-mysql php-gd

​ 2)配置数据库

  1. ~]# systemctl start mariadb
  2. ~]# mysql < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql
  3. MariaDB [(none)]> GRANT ALL ON Syslog.* TO 'loguser'@'127.0.0.1' IDENTIFIED BY 'logpass';

​ 3)配置rsyslog服务,将日志保存到MySQL中

  1. ~]# vim /etc/rsyslog.conf
  2. #### MODULES ####
  3. $ModLoad ommysql
  4. #### RULES ####
  5. *.info;mail.none;authpriv.none;cron.none  :ommysql:127.0.0.1,Syslog,loguser,logpass
  6. ~]# systemctl restart rsyslog

​ 4)配置loganalyzer

loganalyzer程序是基于PHP开发的应用,所以我们需要准备lamp环境,需要注意:不支持FastCGI工作方式的LAMP环境

  1. ~]# wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.6.tar.gz
  2. ~]# tar xf loganalyzer-4.1.6.tar.gz 
  3. ~]# cp -a loganalyzer-4.1.6/src /var/www/html/lay
  4. ~]# touch /var/www/html/lay/config.php
  5. ~]# chmod 666 /var/www/html/lay/config.php
  6. ~]# systemctl restart httpd

访问:http://HOST/lay/,点击here安装

安装过程:next - next - next - next - Finish!

1331725-20180624171534557-797843102.png

转载于:https://www.cnblogs.com/L-dongf/p/9221068.html

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小蓝xlanll/article/detail/664266
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号