rsyslog的学习
rsyslog:
日志:历史日志
历史事件
时间,事件
日志级别:事件的关键性程度,loglevel
系统日志服务:
syslog:
syslogd:system
klogd:kernel,记录内核日志
rsyslog:是一种日志服务多线程:支持udp,tcp,ssl,tls加密远程日志传输支持在MYSQL,PGSQL,Oralce中实现日志存储强大的过滤器,可实现过滤日志信息中任何部分自定义输出格式elasticsearch,logstash,kibana=elk日志收集方:facility:设施,从功能或程序上对日志进行分类,共14个(不算*).auth : 认证相关的authpri : 权限,授权相关cron : 任务计划相关daemon: 守护进程相关kern : 内核相关的lpr : 打印相关的mail : 邮件相关的mark : 标记相关的news : 新闻相关的security : 安全相关的,和auth类似syslog : 日志自己的user : 用户相关的uucp : Unix to unix cp相关的 local0到local7 : 用户自己定义的* : 所有的facilitypriority:loglevel,共十个级别Debug : 程序或信息的调试信息.Info : 一般信息.Notice : 不影响正常功能,需要注意的消息.Warning/warn : 可能会影响系统功能,需要提醒用户注意的重要事件. Err/error : 错误信息.Crit(critical) : 比较严重的.Alert : 必须马上处理的.Emerg/panic : 会导致系统不可用.* : 显示所有的系统信息.None : 与*相反,表示什么都没有.指定级别:*:所有级别none:禁止记录priority:记录包含此级别及更高级别的日志级别=priority:记录此级别文件:/etc/rsyslog.conf/etc/rsyslog.d/*.conf/etc/logrotate.d/syslog/lib64/rsyslog/*.so其中i开头的是输入,o开头的是输出facility.priority /var/log/messages
程序环境:
主程序:rsyslogd
配置文件:/etc/rsyslog.conf
服务脚本:/etc/rc.d/init.d/rsyslog
配置文件:
由MODULES,GLOBAL DIRECTIVES,RULES组成
MODULES部分:加载模块
$ModLoad imuxsock :为本地系统日志记录提供支持
$ModLoad imklog :提供内核日志支持(以前由rklogd完成)
以前由rsyslogd和klogd提供的功能现在由两个模块提供
$ModLoad imtcp :提供tcp为别的主机提供日志记录
$InputTCPServerRun 514:监听514端口
$ModLoad imudp:udp方式
$UDPServerRun 514
RULES(规则)部分:
facility.priority target
例:
.info;mail.none;authpriv.none;cron.none /var/log/messages:除了mail,authpriv,cron之外都记录到messages中
authpriv. /var/log/secure:authpriv的所有信息都记录到secure中
mail. -/var/log/maillog:-代表异步写入
target:
文件路径:记录于指定的日志文件中,通常应该在/var/log目录下,"-"代表异步写入
用户:将日志通知给指定用户
:所有用户br/>日志服务器:@host
host:必须监听在tcp或udp协议的514端口上提供服务
管道: |COMMAND
文件记录的日志格式:
日志产生的日期时间 主机 进程(pid): 事件内容
有些日志记录二进制格式:/var/log/wtmp,/var/log/btmp
/var/log/wtmp:当前系统上成功登录的日志
last命令查看
/var/log/btmp:当前系统上失败的登录尝试
lastb命令查看
lastlog命令:
查看当前系统上每一个用户最后的登录时间
搭建rsyslog日志服务器:
redhat6作为日志服务器
centos7作为日志发送机
- 在redhat6上修改配置文件,将下列选项注释去掉
$ModLoad imtcp :提供tcp为别的主机提供日志记录
$InputTCPServerRun 514:监听514端口
$ModLoad imudp:udp方式
$UDPServerRun 514 - 在centos7上修改配置文件
*.info;mail.none;authpriv.none;cron.none @192.168.137.143
将日志信息存储到mysql中
redhat6作为服务器
centos7作为mysql服务器
1.安装rsyslog-mysql
yum install rsyslog-mysql
安装生成下列文件
/lib64/rsyslog/ommysql.so:输出到mysql的模块
/usr/share/doc/rsyslog-mysql-5.8.10
/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql:mysql执行脚本文件
2.在centos7上安装mariadb(默认已安装)
创建一个数据库(可以使用/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql)
创建一个用户并授权
grant all on Syslog.* to 'syslog'@'192.168.137.143' identified by 'syspass';
然后打开/etc/my.cnf
加入:skip_name_resolve = no:关闭名称反解
innodb_file_per_table = no:支持innodb表共享数据空间
重启服务器
- 将redhat6上的/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql导入centos7的mariadb
mysql -usyslog -h192.168.137.139 -psyspass </usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql - 修改redhat6上的rsyslog.conf
加入$ModLoad ommysql
加入*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.137.139,Syslog,syslog,syspass
格式: --> :模块名:mysql主机,表名,用户名,密码 - 安装 LogAnalyzer
tar -xvf loganalyzer-3.6.5.tar.gz
cd loganalyzer-3.6.5
mv src/* /var/www/html:只使用到这个目录中的文件.
mv contrib/configure.sh /var/www/html
mv contrib/secure.sh /var/www/html
cd /var/www/html
./configure.sh
chmod 666 config.php
./secure.sh - 用浏览器进入web界面进行配置
转载于:https://blog.51cto.com/12814448/2122163
rsyslog的学习相关推荐
- 菜鸟学习之linux用户行为日志审计方案
今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息 说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作 1.安装sudo命令,s ...
- 通过脚本案例学习shell(五) 通过创建DNS脚本一步一步教你将一个普通脚本规范到一个生产环境脚本...
通过脚本案例学习shell(五) 通过创建DNS脚本一步一步教你将一个普通脚本规范到一个生产环境脚本 版权声明: 本文遵循"署名非商业性使用相同方式共享 2.5 中国大陆"协议 ...
- linux 学习 14 日志管理
第十四讲 日志管理 14.1 日志管理-简介 1.日志服务 在CentOS 6.x中日志服务已经由rsyslogd取代了原先的syslogd服务.rsyslogd日志服务更加先进,功能更多.但是不论 ...
- 老男孩Linux运维第41期20170924开班第五周学习重点课堂记录
Week5课堂知识点记录总结 作者:Old_Pan 归档:学习笔记 2017/9/24 目 录 第1章 awk指定多个分隔符-第二关题目... 4 1.1 a.现在需要从文件中过滤出" ...
- Linux端日志加密,Linux学习--第十三天--日志、系统运行级别、grub加密
日志 rsyslogd取代了syslogd. /var/log/cron #定时任务相关日志 /var/log/cups #打印信息相关日志 /var/log/dmesg #开机内核自检相关日志,dm ...
- 什么是分布式系统,如何学习分布式系统(转)
转载自:https://www.cnblogs.com/xybaby/p/7787034.html#_label_5 正文 虽然本人在前面也写过好几篇分布式系统相关的文章,主要包括CAP理论.分布式存 ...
- (零)我为什么要写Linux学习笔记?
我对Linux有强烈的好奇心,兴趣:写学习笔记会让我有成就感:我记忆力实在不好.好吧,其实真正原因是:如果我能把自己学到的知识简明扼要的讲出来,写出来,那便证明我真的学懂了我想学的知识.没时间怎么办? ...
- Ansible学习实战手记-你想要知道的可能都在这里了
最近接触了ansible工具,查找了一些资料,也做了一些总结.希望能给刚接触的新手带来一些帮助. 此总结有实际例子,大部分也是从实践中用到才逐一总结的. 当然可能肯定一定会存在一些错误和纰漏,还望大家 ...
- 日志服务器搭建及配置_[ELK入门到实践笔记] 一、通过rsyslog搭建集中日志服务器...
ELK 是elastic公司提供的一套完整的日志收集以及展示的解决方案,这是我在ELK学习和实践过程写下的笔记,整理成了一个ELK入门到实践的系列文章,分享出来与大家共勉.本文为该系列文章的第一篇,通 ...
最新文章
- linux环境编程--IPC 之 msg queue
- 数据库设计指南(四)保证数据的完整性
- Spring cloud技术栈
- Python Django 数据缓存存储位置类
- SQL行列转换问题整理
- Ubuntu16使用theano出错
- 转:Session,有没有必要使用它?
- c语言程序设计的实验仪器和设备,C语言程序设计实验.doc
- 数据治理--元数据--元数据的作用
- verilog实现格雷码与二进制码的互换
- 1200兆路由器网速_1200m路由器有必要吗 只要我们选择5GHz频段就可
- SQL的select 语句的执行顺序
- 大话设计模式18----备忘录模式
- [Pytorch]将自己的数据集载入dataloader
- Android 一个简单手机响铃功能实现
- 解决Pr cc 2019主页加载不出来的问题
- 如何从0开始撰写一篇CS论文?(内附写作流程图)
- 小学计算机集体听课评课,小学听评课的活动总结(精选5篇)
- 使用ArcGIS进行拓扑检查
- 计算机任务管理器无法响应,简单几步解win10任务管理器打不开提示无响应的方法...