日志分析-1.rsyslog 基础配置(服务器/客户端)

日志分析-1.rsyslog 基础配置(服务器/客户端)
centos6起/etc/syslog.conf不再有!而是/etc/rsyslog.conf代替!
rsyslog是syslog的多线程增强版,现在Fedora、Ubuntu,、rhel6、centos6默认的日志系统都是rsyslog了。
rsyslog主要用来收集系统产生的各种日志,日志默认放在/var/log/目录下。
日志收集工具,不仅仅可以收集本机的日志,还可以收集其他机器的日志

在客户端/服务器架构的配置下,rsyslog同时扮演了两种角色:
1.作为服务器,rsyslog可以收集来自其他设施的日志信息;
2.作为客户端,rsyslog可以将其内部的日志信息传输到远程的syslog服务器。

rsyslog是日志收集工具,现在很多Linux都自带rsyslog,用其替换掉syslog。
【实例】
server:192.168.10.222
client:192.168.4.171
client:192.168.4.178

一.服务器端192.168.10.222上配置
vim /etc/rsyslog.conf
1.开启UDP,TCP
-------------------------------------------------------------
# provides UDP syslog reception
$ModLoad imudp   #开启,去掉#
$UDPServerRun 514  #开启,去掉#

# provides TCP syslog reception
$ModLoad imtcp    #开启,去掉#
$InputTCPServerRun 514 #开启,去掉#

将上面的4行注释取消
有2中传送方式,UDP和TCP 【UDP,TCP后续说明】
UDP是一种比TCP速度快,但是并不具有TCP一样的数据流的可靠性。所以如果你需要使用可靠的传送机制就去掉tcp部分的数值

需要注意的是,TCP和UDP可以被同时生效来监听TCP/UDP 连接。
如果监控的是私有ip地址,开启UDP足以

如果开启TCP就还需要加一个配置
$InputTCPMaxSessions 500  #tcp接收连接数为500个

2.其他部分默认

3.检查配置文件是否正确
rsyslogd -N1
检查配置是否正确
如果有错误会报error

4.重新启动rsyslog日志
/etc/init.d/rsyslog restart

5.(如果有防火墙就开启udp的514端口,161是给snmp用的)
防护墙开启端口,日志收集服服务器必须开启
-A INPUT -s XXXXX/24 -i bond1 -p udp -m udp --dport 514 -j ACCEPT
-A INPUT -s XXXXX/24 -i bond1 -p udp -m udp --dport 161 -j ACCEPT

二.2个客户端的配置
1.修改配置 vim /etc/rsyslog.conf
#
# First some standard log files.  Log by facility.
#
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none,cron.!*  -/var/log/syslog
*.*;auth,authpriv.none,cron.!*  @192.168.10.222    #添加这一条,ip为服务器的ip地址  服务器端ip地址 添加这一条,ip为服务器的ip地址【注意@ip直接没有空格】
cron.*                          /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log

2.其他部分默认

3.检查配置文件是否正确
rsyslogd -N1
检查配置是否正确
如果有错误会报error

4.重新启动rsyslog日志
/etc/init.d/rsyslog restart

4.发送一条测试日志
使用netcat发送一条测试日志,使用rsyslog来验证能够接收UDP信息: 【nc 命令后续说明】
echo ":hello" | nc -u -w 1 服务器ip地址 514

在服务器端
tail -f /var/log/message
在客户端上分别运行
[email protected]:~# echo ":test-hello" | nc -u -w 1 192.168.10.222 514
[email protected]:~# echo ":Debian-hello" | nc -u -w 1 192.168.10.222 514

可以看到
May 19 12:00:09 192.168.4.178 : Debian-hello
May 19 12:01:01 192.168.4.171 : test-hello

以下几个部分在后续内容介绍
rsyslog的轮训,过滤,以及高级使用,以及当下比较流行ELK,以及记录交换机等网络设备的日志

以上是个人点点总结和理解,水平不高,文笔水平很烂,请各位大大见谅。
可以一起交流学习。

我的QQ:610851588
  可以加入我建的群(现在群人很少,希望慢慢多起来)
  Linux  群:183932302
  Python ,shell 交流群:469094734

时间: 2024-12-11 13:56:01

日志分析-1.rsyslog 基础配置(服务器/客户端)的相关文章

ELK日志分析系统 介绍 安装配置

ELK日志分析系统 一.ELK介绍 ELK顾名思义:是由Elasticsearch,Logstash 和 Kibana三部分组成的. 其中Elasticsearch 是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析.它是一个建立在全文搜索引擎 Apache Lucene 基础上的搜索引擎,使用 Java 语言编写.目前,最新的版本是 5.4. 主要特点 实时分析 分布式实时文件存储,并将每一个字段都编入索引 文档导向,所有的对象全部是文档 高可用性,易扩展,支持集群(Cl

ELK 做日志分析(filebeat+logstash+elasticsearch)配置

利用 Filebeat去读取日志发送到 Logstash ,再由 Logstash 处理后发送给 Elasticsearch . 一.Filebeat 项目日志文件: 利用 Filebeat 去读取文件,paths 下面配置路径地址,Filebeat 会自动去读取 /data/share/business_log/TA-*/debug.log 文件 #=========================== Filebeat prospectors ========================

基础 - 配置服务器

配置IIS7服务器 控制面板 程序 打开或关闭Windows功能 Internet信息服务 逐一选中子文件 确定 默认IIS主目录 C:\inetpub\wwwroot 发送到桌面快捷方式 测试 http://localhost/ 配置PHP环境 下载PHP ManagerForIIS安装包 http://www.php.net/downloads.php 安装 配置php http://windows.php.net IIS下选择 VC11 x64 Non Thread Safe的Zip 解压

日志分析命令awk基础用法

awk awk是一个很好用的文本处理工具,相对于sed常用用作一整行的处理,awk则比较擅长将一行分成数个字段来处理.而在我们性能测试中,可以awk可以帮助我们造数,也可以帮助我们分析日志. 简单来说,awk就是用一个循环实现的.首先awk读取文本的一行(默认是从第一行开始,淡然也可以根据条件选择行),然后根据你给的条件来处理这行的某个字段:处理完成后,再读取下一行,然后再根据条件去处理字段,直到处理完成所有的行. awk的标准格式 awk '条件类型1{动作1} 条件类型2{动作2}.....

ELK搭建实时日志分析平台(elk+kafka+metricbeat)-metricbeat客户端搭建搭建

安装metricbeat: 启动: 检查: 在kafka中查看:

Squid代理--经典缓存代理服务器(实现正向代理配置、ACL各种访问控制、日志分析)

Squid是Linux系统中常用的一款开源代理服务软件官方网站http://www.squid-cache.org , 可以很好的实现http.ftp.dns查询,以及ssl等应用的缓存代理. 一.Squid服务概述 缓存代理概述 1.代理的工作机制 当客户机通过代理来请求web页面时,指定的代理服务器会先检查自己的缓存,如果缓存中已经有客户机需要访问的页面,则直接将缓存中的页面反馈给请求的客户端.如果缓存中没有,则由代理服务器向web服务器发起访问请求,当获得返回的web页面后,缓存服务器首先

日志分析方法概述(转)

原文:日志分析方法概述 日志在计算机系统中是一个非常广泛的概念,任何程序都有可能输出日志:操作系统内核.各种应用服务器等等.日志的内容.规模和用途也各不相同,很难一概而论. 本文讨论的日志处理方法中的日志,仅指Web日志.其实并没有精确的定义,可能包括但不限于各种前端Web服务器――apache.lighttpd.tomcat等产生的用户访问日志,以及各种Web应用程序自己输出的日志. 在Web日志中,每条日志通常代表着用户的一次访问行为,例如下面就是一条典型的apache日志: 211.87.

日志分析方法概述

最近几年日志分析这方面的人才需求越来越多,主要伴随数据挖掘的快速发展而迅速增长的.碰巧又在工作中又接触到一些日志记录方面的工作,就顺便了解一下日志系统的整个流程.下面这篇文章转自百度同学的一篇文章,针对大规模日志分析,联系到hadoop,hive的解决方案,阐述的比较全面. 另外就是阿里已经开发出类似的系统odps-通过sql语言进行数据的分析处理,详情见:http://102.alibaba.com/competition/addDiscovery/faq.htm --------------

转载:日志分析

MARK 日志分析: http://blog.csdn.net/pkueecser/article/details/9569251 大数据应用--系统监控与日志分析PPT http://wenku.baidu.com/link?url=8CJ-URMjVTVaw3GM1AZ2w9A7V0CIeRz3dx7xvysILLk6IdWpJGT889gQ7-824G4hAK-T2tdqZY1Lo6CEN1hgqHQNlHhVFykWJ_9XQW6EN5K ============= 日志在计算机系统中是