rsyslog简单应用
rsyslog简介
-
Rsyslog的全称是
rocket-fast system for log,可用于接受来自各种来源的输入,转换 它们,并将结果输出到目的地。 -
它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。
-
rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日 志消息。rsyslog守护进程可以被配置成两种环境,一种是配置成日志收集服务器, rsyslog进程可以从网络中收集其它主机上的日志数据,这些主机会将日志配置为发 送到另外的远程服务器。rsyslog的另外一个用法,就是可以配置为客户端,用来过 滤和发送内部日志消息到本地文件夹(如/var/log)或一台可以路由到的远程rsyslog 服务器上。
-
官网地址:https://www.rsyslog.com/
安装
dnf install rsyslog-8.2102.0-105.el9.x86_64
查看状态
systemctl status rsyslog.service
默认日志路径
内核日志 /dev/console
通用信息日志 /var/log/messages
认证日志 /var/log/secure
邮件日志 -/var/log/maillog
任务计划日志 /var/log/cron
紧急消息日志 :omusrmsg:*
新闻系统日志 /var/log/spooler
启动日志 /var/log/boot.log
日志类型
auth #用户认证,比如用户登录系统
authpriv #服务认证,比如ssh远程登录
cron #时间任务
kern #内核类型
mail #邮件
news #系统更新信息
user #用户
日志级别
none #不采集
debug #程序排错信息
info #程序常规运行信息
notice #重要信息的普通日志
waring #程序警告
err #程序报错
crit #严重级别会导致系统软件不能正常工作
alert #系统中立即要更改的信息
emerg #系统的严重问题日志#从高到底依次为:
emerg(紧急) > alert(警告) > crit(严重) > err(错误) > warning(警告) > notice(通知) > info(信息) > debug(调试)
主配置文件/etc/rsyslog.conf
全局指令 (Global Directives)
#### GLOBAL DIRECTIVES ##### 工作目录,用于存储状态文件和队列文件
global(workDirectory="/var/lib/rsyslog")# 定义日志格式为传统时间戳格式
module(load="builtin:omfile" Template="RSYSLOG_TraditionalFileFormat")# 导入/etc/rsyslog.d/目录下的所有配置文件
include(file="/etc/rsyslog.d/*.conf" mode="optional")
模块加载 (Modules)
#### MODULES ##### 加载 imuxsock 模块,用于接收本地系统日志(例如通过 logger 命令生成的日志)
# SysSock.Use="off" 关闭本地日志套接字,改用 imjournal 模块从 systemd 获取日志
module(load="imuxsock" SysSock.Use="off") # 加载 imjournal 模块,用于从 systemd journal 获取日志
# StateFile 记录读取 journal 的位置,重启后可继续从断点读取
module(load="imjournal" StateFile="imjournal.state") #读取内核日志(现代系统中已通过 journald 读取,无需单独加载)
module(load="imklog")#提供 --MARK-- 消息功能(定期发送标记消息)
module(load="immark") #提供udp系统日志接收
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")#提供tcp系统日志接收
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")
日志规则 (Rules)
#### RULES #####内核日志
#将所有内核消息输出到控制台(通常用于调试,生产环境一般注释掉)
#kern.* /dev/console#通用信息日志
# 记录除 mail、authpriv、cron 外的所有 info 级别及以上的日志到 /var/log/messages
# 排除 mail:避免邮件日志充斥 messages
# 排除 authpriv:认证相关日志单独存放
# 排除 cron:计划任务日志单独存放
*.info;mail.none;authpriv.none;cron.none /var/log/messages#认证日志
# 将所有 authpriv 设施的日志(如 sshd、sudo)记录到 /var/log/secure
# 该文件通常权限为 600,仅限 root 访问
authpriv.* /var/log/secure#邮件日志
# 将所有 mail 设施的日志记录到 /var/log/maillog
# 前缀 "-" 表示异步写入,提高性能(日志可能会延迟写入,但对邮件系统影响较小)
mail.* -/var/log/maillog#任务计划日志
#将 cron 设施的日志(计划任务执行情况)记录到 /var/log/cron
cron.* /var/log/cron#紧急消息日志
# 当发生紧急情况(如系统崩溃)时,向所有登录用户发送消息
*.emerg :omusrmsg:*#新闻系统日志
# 将 uucp 和 news 设施的 crit 级别及以上的日志记录到 /var/log/spooler
# 这些日志通常与系统间通信和新闻服务器相关
uucp,news.crit /var/log/spooler#启动日志
# 将 local7 设施的日志(通常是 bootloader 和系统启动过程)记录到 /var/log/boot.log
local7.* /var/log/boot.log
转发规则示例(sample forwarding rule)
# ### sample forwarding rule ###
action(type="omfwd" # 配置磁盘队列:当远程服务器不可用时,将日志暂存到磁盘queue.filename="fwdRule1" # 队列文件前缀queue.maxdiskspace="1g" # 最大磁盘空间 1GBqueue.saveonshutdown="on" # 关机时保存队列queue.type="LinkedList" # 使用链表队列,异步处理action.resumeRetryCount="-1" # 无限重试,直到远程服务器恢复# 远程服务器配置(TCP 协议保证可靠传输)Target="remote_host" Port="XXX" Protocol="tcp")test
实验环境
主机1 rhel9,网卡nat,ip 192.168.60.10主机2 rhel9,网卡nat,ip 192.168.60.10
定义日志采集格式修改
1.编辑日志采集格式模板
$template CUSTOM_LOGFORMAT,"%FROMHOST-IP% %timegenerated% %syslogtag% %msg%\n"
#ip 时间戳 日志标签 日志内容主体
日志信息常用属性
%timestamp% | 日志生成时间(默认格式:Jul 14 10:00:00) | Jul 14 10:00:00 |
|---|---|---|
%hostname% | 产生日志的主机名 / IP | server01 或 192.168.1.100 |
%programname% | 产生日志的程序名 | sshd、nginx |
%syslogtag% | 日志标签(通常包含程序名和进程 ID) | sshd[12345]: |
%msg% | 日志内容主体 | Accepted password for user |
%syslogseverity-text% | 日志级别(文本形式) | info、err |
%syslogfacility-text% | 日志设施(文本形式) | authpriv、kern |
2.使用模板
#1、将模板写道规则后
*.* /var/log/dl;CUSTOM_LOGFORMAT
#2、修改默认日志格式
module(load="builtin:omfile" Template="CUSTOM_LOGFORMAT")
3.重启rsyslog服务,使配置生效
systemctl restart rsyslog.service
4.效果
自定义日志路径
1.进入主配置文件
vim /etc/rsyslog.conf
2.写入
*.*;authpriv.none /var/log/dl
#除了认证之外的所有日志信息都记录在/var/log/dl中
3.重启rsyslog服务,使配置生效
systemctl restart rsyslog.service
4.查看
日志同步
1.主机a接收方(192.168.60.10)配置
#进入主配置文件
vim /etc/rsyslog.conf#修改(udp)
module(load="imudp") # needs to be done just once #加载日志接收模块
input(type="imudp" port="514") #指定模块端口
#(tcp)
#module(load="imtcp") # needs to be done just once
#input(type="imtcp" port="514")#重启
systemctl restart rsyslog.service
#测试
netstat -antlupe | grep rsyslog
#关闭防火墙
systemctl stop firewalld.service
2.主机b发送方(192.168.60.20) 配置
#进入主配置文件vim /etc/rsyslog.conf#修改(udp)*.* @192.168.60.10#(tcp)*.* @@192.168.60.10#重启systemctl restart rsyslog.service
3.测试
主机b
logger test massages
主机a
tail /var/log/massages
