rsyslog常用配置

近期在思考一种简单的系统日志统一分析监控方案。在开始后面的内容之间先说下rsyslog，rsyslog目前是redhat、Ubuntu等常见linux发行版上自带的日志管理软件，其配置也比较简单。其主配置文件是/etc/rsyslog.conf 。

一、日志类型和级别

1、日志设备(可以理解为日志类型)

auth –pam产生的日志
authpriv –ssh,ftp等登录信息的验证信息
cron –时间任务相关
kern –内核
lpr –打印
mail –邮件
mark(syslog)–rsyslog服务内部的信息,时间标识
news –新闻组
user –用户程序产生的相关信息
uucp –unix to unix copy, unix主机之间相关的通讯
local 1~7 –自定义的日志设备

2、日志级别

debug –有调式信息的，日志信息最多
info –一般信息的日志，最常用
notice –最具有重要性的普通条件的信息
warning –警告级别
err –错误级别，阻止某个功能或者模块不能正常工作的信息
crit –严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert –需要立刻修改的信息
emerg –内核崩溃等严重信息
none –什么都不记录
从上到下，级别从低到高，记录的信息越来越少

3、日志连接

日志设备(类型).(连接符号)日志级别，构成日志处理方式(action)。

.xxx: 表示大于等于xxx级别的信息
.=xxx：表示等于xxx级别的信息
.!xxx：表示在xxx之外的等级的信息

二、日志存储和发送

1、本地保存

kern.*;*.warn /var/log/kern.log
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* /var/log/maillog
cron.* /var/log/cron

2、远程转发

*.* @192.168.0.1 # 使用UDP协议转发到192.168.0.1的514(默认)端口
*.* @@192.168.0.1:10514 # 使用TCP协议转发到192.168.0.1的10514(默认)端口

3、发送本地用户

*.* root
*.* root,kiosk,zabbix # 使用,号分隔多个用户
*.* * # *号表示所有在线用户

三、高级用法

1、忽略、丢弃

local3.* ~ # 忽略所有local3类型的所有级别的日志
local3.* ^/tmp/a.sh # ^号后跟可执行脚本或程序的绝对路径

2、过滤日志

过滤特定的日志到文件, 忽略(丢弃)包含某个字符串的日志：

# 过滤日志, 由:号开头
:msg, contains, “error” /var/log/error.log
:msg, contains, “error” ~ # 忽略包含error的日志
:msg, contains, “user nagios” ~
local3.* ~

四、远程传输

1、配置服务端(接收)

vi /etc/rsyslog.conf #在文件开始加上，同时确保514端口能够被客户端用tcp访问
$ModLoad imtcp.so # needs to be done just once #使用tcp方式
$InputTCPMaxSessions 500 # tcp接收连接数为500个
$InputTCPServerRun 514 # tcp接收信息的端口
$template logformat,”%TIMESTAMP:::date-mysql% %FROMHOST-IP%%msg%\n” # 定义一个名为logformat模板, 为信息加上日志时间
$template DynFile,”/var/log/tlog%$year%%$month%%$day%.log” # 定义日志文件的名称，按照年月日
:rawmsg, contains, “sdns_log” ?DynFile;logformat # 把rawmsg(也可以使用msg)日志中包含sdns_log标志的信息写到DynFile定义的日志文件里
:rawmsg, contains, “sdns_log” ~ # 这个表示丢弃包含sdns_log标志的信息, 一般都加上它, 以免多个日志文件记录重复的日志

如果要把不同服务器发送过来的日志保存到不同的文件, 可以这样操作:

:fromhost-ip, isequal, “192.168.0.160″ /var/log/host160.log
:FROMHOST-IP, isequal, “192.168.0.161″ /var/log/host161.log
:FROMHOST-IP, startswith, “192.168.1.” /var/log/network1.log
:FROMHOST-IP, startswith, “192.168.2.” /var/log/network2.log

2、配置客户端(发送)

vi /etc/rsyslog.conf #在文件开始加上
#把包含sdns_log的信息通过tcp发到192.168.1.2 @@表示tcp @表示udp
:rawmsg, contains, “sdns_log” @@192.168.1.2 # 默认514端口
#这个表示丢弃包含sdns_log标志的信息,防止这个信息写到本机的/var/log/message
:rawmsg, contains, “sdns_log” ~

可以使用如下方法进行测试：

在客户端上执行
logger -p user.info “sdns_log 34334″
在服务端的/var/log/目录里是否有tlog*日志产生

需要日志轮转的，可以使用logrotate进行配置。

syslog

https://www.cnblogs.com/skyofbitbit/p/3674664.html

syslog与rsyslog相关推荐

syslog和rsyslog有什么不同？
syslog和rsyslog有什么不同? syslog日志收集器: syslog是早期的centos版本的日志收集器,应该是centos5之前的版本. syslog的两个重要的守护进程: 1.sysl ...
syslog 和 rsyslog
1. 介绍 rsyslog可以简单的理解为syslog的超集,在老版本的Linux系统中,Red Hat Enterprise Linux 3/4/5默认是使用的syslog作为系统的日志工具,从RH ...
Linux ❀ Rsyslog（Syslog）服务与配置文件参数详解
文章目录 1.日志服务简介 2.linux系统中的常见日志 3.日志服务Rsyslog (1)服务对应rpm包 (2)服务配置文件 (3)配置文件格式服务名称连接符号日志等级日志记录位置 (4 ...
rsyslog的学习
rsyslog: 日志:历史日志历史事件时间,事件日志级别:事件的关键性程度,loglevel 系统日志服务: syslog: syslogd:system klogd:kernel,记录内核日 ...
rsyslog日志管理+LogAnalyzer
简介RSYSLOG 用于日志处理系统.它提供高性能,高安全×××和模块化设计. 支持多线程,TCP,SSL,TLS,RELP 支持MySQL,PostgreSQL,Oracle数据库配置说明配置文 ...
Centos6.3下利用rsyslog+loganalyzer+mysql部署日志服务器
作为一名系统运维工程师,平时查看分析LINUX系统日志我觉得是我们每天必做的功课,但时间长了会发现每次查看站点日志都得挨个进后台,几台服务器还可以这么对付,但如果管理成百上千台线上服务器,这种方法就捉 ...
mysql+enable+sql+log_CentOS7下利用rsyslog+loganalyzer配置日志服务器及Linux和windows客户端配置...
随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事. 系统管理员遇到的常见问题如下: 1.日常维护过程中不可能登录到每一台服务器和设备上去查看日志: 2.网络设备上的存储空间有 ...
linux 多线程写日志,rsyslog多线程远程日志记录介绍（lamp+rsyslog）
rsyslog多线程远程日志记录介绍(lamp+rsyslog) rsyslog: rsyslog: 多线程: 支持UDP, TCP, SSL, TLS, RELP远程日志记录 rsyslog支持将日 ...
mysql 搭建日志服务器_一、架构01-搭建日志服务器Rsyslog
搭建日志服务器 1.环境配置环境: node01 192.168.32.132 rsyslog服务器 node02 192.168.32.128 rsyslog客户端 2.node01.no ...

syslog与rsyslog