日志管理-rsyslog日志服务器及loganalyzer

一,日志基础

日志:记录时间,地点,任务,事件

格式:日期时间 主机 进程[pid]: 事件内容

rsyslog 特性:

多线程,UDP, TCP, SSL, TLS, RELP,MySQL, PGSQL, Oracle实现日志存储

强大的过滤器,可实现过滤记录日志信息中任意部分,自定义输出格式

日志分类:facility(不同类存放于不同文件)

auth, authpriv, cron, daemon,ftp,kern, lpr, mail, news, security(auth), user, uucp, local0-local7(自定义), syslog

配置自定义的日志设施:

在某程序配置文件内调整

SyslogFacility local0

然后在 /etc/rsyslog.conf 配置

local0.* /var/log/xxxx.log

重启rsyslogd 和该程序

日志优先级:

debug, info, notice, warn(warning), err(error), crit(critical), alert, emerg(panic)

配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/.conf,库文件:/lib64/rsyslog/* .so

配置文件的格式(三部分):

MODULES:相关模块配置

GLOBAL DIRECTIVES:全局配置

RULES:日志记录相关的规则配置

rules 配置格式: facility.priority; facility.priority… target

priority :

*: 所有级别

none PRIORITY =PRIORITY:仅记录指定级别的日志信息

target

文件路径:通常在/var/log/,文件路径前的-表示异步写入 用户:将日志事件通知给指定的用户,* 表示登录的所有用户 日志服务器:@host,把日志送往至指定的远程服务器记录 @@走tcp 管道: | COMMAND,转发给其它命令处理

启用网络日志服务(接受日志的服务器打开): 配置72服务器日志转储73

72:vim  /etc/rsyslog.conf  authpriv.*       @192.168.36.72                               73:#### MODULES ##### Provides UDP syslog reception$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception$ModLoad imtcp$InputTCPServerRun 514authpriv.*      /var/log/secure  #不变#ssh  登陆72查看 /var/log/secure # logger "testxxx"  人为触发写入日志

其他日志文件:

/var/log/secure:系统安装日志,文本格式,应周期性分析/var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看/var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看/var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看/var/log/dmesg:系统引导过程中的日志信息,文本格式,文本查看工具查看,专用命令dmesg查看/var/log/messages :系统中大部分的信息

日志管理journalctl:

指定时间的日志:

journalctl --since="2017-10-30 18:10:30"

journalctl --since "20 min ago"

journalctl --since yesterday

journalctl --since "2017-01-10" --until "2017-01-11 03:00"

journalctl --since 09:00 --until "1 hour ago"

尾部 20 条日志 journalctl -n 20

journalctl -f 实时滚动日志显示

二,实验:rsyslog 记录到服务器数据库

1,数据库创建账户

grant all on Syslog.* to ‘loguser‘@‘192.168.36.% ‘ identified by "redhat";

2,yum -y install rsyslog-mysql

3,为syslog创建数据库表

mysql < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql (rpm -ql rsyslog-mysql )

4,配置rsyslog将日志保存到mysql中

vim /etc/rsyslog.conf

#加载模块以便rsyslog与数据库连接

$ModLoad ommysql

facility.priority   :ommysql:192.168.36.73 ,Syslog,loguser, redhat (地址,databasename,user,passwd)

systemctl restart rsyslogd

5, 在72安装httpd+php

yum install httpd php php-mysql php-gd

wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.7.tar.gz

cp -a loganalyzer-4.1.5/src /var/www/html/loganalyzer

cd /var/www/html/loganalyze

touch config.php

chmod 666 config.php

访问首页

原文地址:https://www.cnblogs.com/g2thend/p/10884590.html

时间: 2024-11-05 13:29:23

日志管理-rsyslog日志服务器及loganalyzer的相关文章

ip设定与日志管理

10.15 {3.gateway 网关} [1.路由器] 主要功能是用来作nat的 dnat   目的地地址转换 snat   源地址转换 [2.网关] 路由器上和自己处在同一个网段的那个ip [3.设定网关] systemctl stop NetworkManager  #关闭网络智能管理服务 vim /etc/sysconfig/network     #全局网关 GATEWAY=网关ip vim /etc/sysconfig/network-scripts/ficfg-网卡配置文件  #网

20181219日志管理基础

日志管理基础 rsyslog 日志管理logrotate 日志轮转采集 -----> 分析一.处理日志的进程rsyslogd: 绝大部分日志记录,和系统操作有关,安全,认证 sshd,su,计划任务 at,cron...httpd/nginx/mysql: 可以以自己的方式记录日志[[email protected] ~]# ps aux |grep rsyslogdroot 717 0.0 0.0 219752 3880 ? Ssl 09:05 0:00 /usr/sbin/rsyslogd

Linux学习之日志管理(二十一)

Linux学习之日志管理 目录 日志管理 日志服务 rsyslogd的新特点 启动日志服务 常见日志的作用 日志文件的一般格式 rsyslogd日志服务 /etc/rsyslog.conf配置文件 服务名称 连接符号 日志等级 日志记录位置 日志轮替 日志文件命名 logrotate配置文件 logrotate命令 日志管理 日志服务 在Centos6.x中日志服务已经由rsyslogd取代了原先的syslogd服务.rsyslogd日志服务更加先进,功能更多.但是不论该服务的使用,还是日志文件

云计算Docker全面项目实战(Maven+Jenkins、日志管理ELK、WordPress博客镜像)

2013年,云计算领域从此多了一个名词“Docker”.以轻量著称,更好的去解决应用打包和部署.之前我们一直在构建Iaas,但通过Iaas去实现统一功  能还是相当复杂得,并且维护复杂.将特殊性封装到镜像中实现几乎一致得部署方法,它就是“Docker”,以容器为技术核心,实现了应用的标准化.企业可  以快速生成研发.测试环境,并且可以做到快速部署.实现了从产品研发环境到部署环境的一致化.Docker让研发更加专注于代码的编写,并且以“镜像”作  为交付.极大的缩短了产品的交付周期和实施周期. 课

为什么要使用日志管理?-syslog和Windows事件日志

为什么要使用日志管理?syslog和Windows事件日志 日志管理 - 确保网络安全的先决条件日志给予您有关网络活动的第一手信息.日志管理确保日志中隐藏的网络活动数据转换为有意义的可操作的安全信息.日志管理是网络安全管理员为保护网络而要完成的首要任务.日志管理包括收集.安全存储.规范化.分析.生成报表和告警.日志收集· 日志收集必须是非侵入性的.· 需要从网络中出现的不同设备.服务器和应用程序组中收集日志.· 最好以无代理的方式收集日志.在某些网络环境中,以使用代理的方式进行的日志收集应以可选

Linux基础学习(13)--日志管理

第十三章--日志管理 一.日志管理简介 1.日志服务: 2.常见日志的作用: 二. rsyslogd日志服务 1.日志文件格式: 2./etc/rsyslog.conf配置文件: 三.日志轮替 1.日志文件的命名规则: 2.logrotate配置文件: 3.把apache日志加入轮替: 4.logrotate命令: 原文地址:https://www.cnblogs.com/lyq-biu/p/9638572.html

SSH(三)资源分类和日志管理

上篇博文已经分别介绍了如何搭建SSH开发环境以及对SSH三个框架的整合.整合完成之后,我们基本上就可以正常的开始一个基于SSH框架开发的项目了.本篇博文介绍的资源分类和日志管理都是一些锦上添花的配置.利用这些,来清晰我们的思路,便利我们的编程. 先来说说资源分类吧.这里的资源分类是指对项目中代码或者配置文件等的一个分类管理.以下截图中的分类只是参考,主要是对于资源分类管理思想上的重视.我们要知道,一个结构清晰,骨架简洁的项目是极其方便团队开发,同时也可加快新人或者他人对该项目的理解. 再来说说日

secilog 1.16 发布 增加了集群,离线日志导入,日志过滤和归并等

日志分析软件 secilog 1.16发布,增加了集群,离线日志导入,日志过滤和归并,日志管理,配置管理等.上篇文章1.15,有兴趣可以了解一下.本次升级主要增加以下功能: 集群 主要是采集器可以分布式集群部署,支持横向扩展,理论上支持海量数据. 配置文件中增加了两项: secilog.master=true采集器主从节点标志,当是从节点的时候,内容要修改成false master.ip= 当采集器是从节点的时候,需要指定主节点的ip,同时要确保系统7017,7018端口畅通. 离线日志导入 离

Rsyslog日志服务器搭建、loganalyzer安装使用

公司使用CactiEz做为网络监控平台,可以实时监控网络设备及出口流量外加邮件报警,虽然有一个延迟但基本够用. 除此之外,还需要一个日志服务器.因为设备比较多,设备如果断电重启,问题排除还需借助日志. 华为交换机端配置如下: info-center source default channel 2 log level warning #日志级别,设置为warning警告最为合适 info-center loghost source Vlanif1101 # 源vlan info-center l