<ruby id="bdb3f"></ruby>

    <p id="bdb3f"><cite id="bdb3f"></cite></p>

      <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
        <p id="bdb3f"><cite id="bdb3f"></cite></p>

          <pre id="bdb3f"></pre>
          <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

          <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
          <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

          <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                <ruby id="bdb3f"></ruby>

                ThinkChat2.0新版上線,更智能更精彩,支持會話、畫圖、視頻、閱讀、搜索等,送10W Token,即刻開啟你的AI之旅 廣告
                # rsyslog統一日志收集系統 [TOC] ## 一 rsyslog相關基礎 ### A rsyslog 日志服務器的優勢: Rsyslog的全稱是`rocket-fast system for log`,它提供了高性能,高安全功能和模塊化設計。rsyslog能夠接受從各種各樣的來源,將其結果輸出的到不同的目的地。 rsyslog可以提供超過每秒一百萬條消息給目標文件。 **特點:** * 多線程 * 可以通過許多協議進行傳輸UDP,TCP,SSL,TLS,RELP; * 直接將日志寫入到數據庫; * 支持加密協議:ssl,tls,relp * 強大的過濾器,實現過濾日志信息中任何部分的內容 * 自定義輸出格式; ### B rsyslog配置文件模塊 rsyslog有完善的input-filter-output模塊,但是由于現在有更強大的elk日志套件, rsyslog在我手中的用途只是用來統一收集某類日志(如sshd登錄日志)到指定服務器,后續的再將該日志導入elk系統 因此這里不再詳述rsyslog的這些模塊,有興趣的網上找相關文檔 ### C rsyslog配置文件規則 rsyslog.conf中日志規則的典型格式如下: ~~~ facitlity.priority action #日志類型.日志級別 ? 存儲位置/動作 #日志類型和日志級別都可以用*(星號)表示所有 ~~~ 1. `facility`: 日志類型 | 日志類型 | 類型說明 | | --- | --- | | auth | pam 認證日志 | | authpriv | ssh,ftp 等登錄信息的驗證信息,認證授權認證 | | cron | 定時任務相關日志 | | kern | 內核日志 | | lpr | 打印及日志 | | mail | 郵件日志 | | mark/syslog | rsyslog 服務內部的信息日志 | | news | 新聞組日志 | | user | 用戶程序產生的相關日志 | | uucp | unix 主機之間相關的通訊日志 | | local | 1~7 #自定義的日志設備 | 2. `priority`: 日志級別: | 日志級別 | 級別說明 | | --- | --- | | debug | 調式信息的,日志信息最多 | | info | 一般信息的日志,最常用 | | notice | 最具有重要性的普通條件的信息 | | warning | 警告級別 | | error | 錯誤級別 | | crit | 比較嚴重級別 | | alert | 很嚴重警報級別 | | emerg | 內核崩潰等嚴重信息 | 3. `action`:日志動作 ~~~ 1)記錄到普通文件或設備文件 *.* ? ? /var/log/file.log ? #絕對路徑 *.* ? ? /dev/pts/0 ? ? ? ? ?#設備文件 2)將日志通過管道送給其他命令處理 *.error |awk .... 3)將日志發送到特定的主機 *.emerg @192.168.10.1 4)”用戶”,表示將日志發送到特定的用戶 *.error ? root ? #發送給root用戶 *.error ? * ? ? ?#發送所有登錄到系統的用戶 ~~~ 4. 連接符號 ~~~ . ? ? ? ? ? ? ? ? ?#表示大于等于xxx級別的信息; .= ? ? ? ? ? ? ? ? #表示等于xxx級別的信息; .! ? ? ? ? ? ? ? ? #表示在xxx之外的等級的信息; ~~~ 5. 格式定義案例 定義在/etc/rsyslog.conf配置文件中 ~~~ # 表示將mail相關的,info級別及以上級別都記錄到mail.log文件中 mail.info /var/log/mail.log # 表示將auth相關的基本為info信息記錄到遠程主機 auth.=info @10.0.0.1 使用UDP協議發送到遠端主機,默認514端口 auth.=info @@10.0.0.1 使用TCP協議發送到遠端主機,默認10514端口 # 表示記錄與user和error相反的 user.!error # 表示記錄所有日志信息的info級別及以上級別 *.info # 所有日志及所有級別信息都記錄下來 *.* # 丟棄日志[~] cron.* ~ ~~~ > PS:多個日志來源可以使用,號隔開,如cron.info;mail.info。 ## 二 搭建rsyslog統一收集sshd登錄日志 ### A 客戶端配置 ~~~ yum install -y rsyslog ? # 清除配置文件中注釋,最后一行添加服務端類型 cat >/etc/rsyslog.conf <<EOF # 默認配置 $ModLoad imuxsock ?# provides support for local system logging $ModLoad imjournal # provides access to the systemd journal $WorkDirectory /var/lib/rsyslog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat ? $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on $IMJournalStateFile imjournal.state *.info;mail.none;authpriv.none;cron.none ? /var/log/messages authpriv.* ? ? ? ? /var/log/secure mail.* ? ? ? ? ? ? ?-/var/log/maillog cron.* ? ? ? ? ? ? /var/log/cron *.emerg ? ? ? ? ? ? :omusrmsg:* uucp,news.crit ? ? /var/log/spooler local7.* #增加配置 authpriv.* ? ? ? ? @172.17.19.29:514 ? EOF ~~~ ### B 搭建服務端 ~~~ yum install -y rsyslog ? # 清除配置文件中注釋,在中間加入接收端配置 cat >/etc/rsyslog.conf <<EOF # 默認配置第一部分 $ModLoad imuxsock ?# provides support for local system logging $ModLoad imjournal # provides access to the systemd journal $WorkDirectory /var/lib/rsyslog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat ? #--------------新增配置-開始-------------- #開啟udp接收日志 $ModLoad imudp $UDPServerRun 514 $AllowedSender UDP, 172.17.0.0/16 #定義日志格式模板(方便后續logstash讀取) $template myformat,"%TIMESTAMP::10:date-rfc3339% %TIMESTAMP:8:15% %hostname% %fromhost-ip% %syslogtag% %msg%\n" #定義日志存放路徑及文件格式 $template sshRemote,"/data/fw_logs/ssh_%$YEAR%-%$MONTH%-%$DAY%.log" #調用日志模板和文件格式,并過濾部分信息 :fromhost-ip, !isequal, "127.0.0.1" ?sshRemote;myformat #定義生成的日志文件和文件夾(也是方便logstash讀取) $FileCreateMode 0644 $DirCreateMode 0755 $Umask 0022 #--------------新增配置-結束-------------- ? #默認配置第二部分 $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on $IMJournalStateFile imjournal.state *.info;mail.none;authpriv.none;cron.none ? /var/log/messages authpriv.* ? ? ? ? /var/log/secure mail.* ? ? ? ? ? ? ?-/var/log/maillog cron.* ? ? ? ? ? ? /var/log/cron *.emerg ? ? ? ? ? ? :omusrmsg:* uucp,news.crit ? ? /var/log/spooler local7.* EOF ~~~ 重啟服務并驗證 ~~~ systemctl restart rsyslog #重啟服務后,客戶機多次ssh登錄驗證服務端有沒有產生日志 #也可以用logger命令模擬產生日志 logger "rsyslog test from 172.17.19.31" -p authpriv.info ~~~ ## 三 rsyslog日志模板: [參考網址:](https://segmentfault.com/a/1190000003509909) 日志模板中各變量對于的數據樣式如下 ```sh msg: Hello, Logger, rawmsg: <175>Mar 10 15:52:49 LogHeader[13845]: Hello, Logger, HOSTNAME: vm-28-234-pro01-hp, FROMHOST: vm-28-234-pro01-hp, syslogtag: LogHeader[13845]:, programname: LogHeader, PRI: 175, PRI-text: local5.debug, IUT: 1, syslogfacility: 21, syslogfacility-text: local5, syslogseverity: 7, syslogseverity-text: debug, timereported: Mar 10 15:52:49, TIMESTAMP: Mar 10 15:52:49, timegenerated: Mar 10 15:52:49, PROTOCOL-VERSION: 0, STRUCTURED-DATA: -, APP-NAME: LogHeader, PROCID: 13845, MSGID: - ```
                  <ruby id="bdb3f"></ruby>

                  <p id="bdb3f"><cite id="bdb3f"></cite></p>

                    <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
                      <p id="bdb3f"><cite id="bdb3f"></cite></p>

                        <pre id="bdb3f"></pre>
                        <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

                        <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
                        <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

                        <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                              <ruby id="bdb3f"></ruby>

                              哎呀哎呀视频在线观看