RSYSLOG没那么简单

定义系统默认的日志收集还算EASY。

但如何在公司项目里要配置程序员们写的自定义日志，那可能就要用到LOCAL及FILTER过滤这些东东了。。。

慢慢走吧。。

收集URL备用，都是讲LOCAL,TEMPLAT,FILTER比较好的CASE：

http://blog.sina.com.cn/s/blog_4a80a5730101m2b3.html

http://my.oschina.net/0757/blog/198329

http://wenku.baidu.com/link?url=tPJuftxO3EjGYKe77IH4rnjVAmjWju9_A1LTOrj0nBeigy7letgPq9nokXXizXB_95eoOsiKNBlViBClAnm3zgNruGOi3hLAY0kzjiyZueu

http://my.oschina.net/duxuefeng/blog/317570

http://blog.clanzx.net/2013/12/31/rsyslog.html

还有N多模块！！！

~~~~~~~~~~~~~~~

a. mysql支持
rsyslog很多功能都是以模块的形式实现的，比如这个mysql支持，首先在编译的时候我们必须将这个模块编译进去，然后在/etc/rsyslog.conf加载”$ModLoad ommysql“，然后在指定哪些日志需要存放在数据里。在使用mysql模块前，我们需要手工建库、定义表，这些步骤手册里都有详细说明，操作起来也不难。

b. filter(日志筛选)
filter是rsyslog的一大亮点，通常情况下，我们并不是所有的日志都要收集，比如我们只需要error以下级别的日志、或者我们再要包含特定内容的日志。灵活运用filter我们可以很轻易地实现这些需求。下面举几个例子，使用方法手册里有详细介绍：

1 2	`:msg, contains,` `"test_message"` `/var/log/test.log` `&~`

如果日志内容包含”test_message”就存放在/var/log/test.log中，”&~”的意思是丢弃，不做后续处理。即使后面还有”:msg, contains, “test_message” /var/log/test2.log”，这条日志也不会再存在test2.log中。

1 2	`if` `$msg` `contains` `‘test_message‘` `then /var/log/test.log` `&~`

上面的例子的另一种写法，用if的好处是可以定义一些复杂的条件匹配
filter非常的实用，syslog中仅仅定义的local0~local7几个用户自定义的facility。使用filter我们轻松解决自定义facility不够用的问题

c. template
使用template定义日志格式模板，可以规范不通的类型的日志，很方便我们查看，使用起来也很简单，但是template的定义必须放在rsyslog.conf的顶端。

1 2	`$template` `myFormat,"%timestamp% %hostname% %pri-text% %msg%\n"` `$ActionFileDefaultTemplate` `myFormat`

第一行我们定义了一个名为myFormat的模板，第二行的意思是把我们定义的myFormat作为rsyslog的默认模板。如果只是需要在特定日志上套用这个模板可以这样写

1	`$template` `myFormat,"%timestamp% %hostname% %pri-text% %msg%\n";Format`

~~~~~~~~~~~~~~

服务器：
mkdir /data/apache/logs
chown apache:apache /data/apache/logs

/etc/rsyslog.conf文件最后添加

$template access_log, "%msg:2:$%\n"
$template error_log, "%msg%\n"

# web1-access-log
$template access_log_file_web1, "/data/apache/logs/%$NOW%/access-log/web1-access_log"
# web1-error-log
$template error_log_file_web1, "/data/apache/logs/%$NOW%/error-log/web1-error_log"

# web1-access-log
if $syslogfacility-text == ‘local6‘ and $syslogtag == ‘http-access:‘ and $fromhost-ip == ‘10.1.5.241‘ then -?access_log_file_web1;access_log
# web1-error-log
if $syslogfacility-text == ‘local6‘ and $syslogtag == ‘http-error:‘ and $fromhost-ip == ‘10.1.5.241‘ then -?error_log_file_web1;error_log

[[email protected] ~]# /etc/init.d/rsyslog restart

~~~~~~~~~~~~~~~~~~~~

======================================================================
实例: 指定日志文件, 或者终端
======================================================================
[[email protected] ule-sa3]# vi /etc/rsyslog.conf
[[email protected] ule-sa3]# grep local3 !$
grep local3 /etc/rsyslog.conf
local3.* /var/log/local3.log
[[email protected] ule-sa3]# rm -rf /var/log/local3.log
[[email protected] ule-sa3]# /etc/init.d/rsyslog reload
Reloading system logger… [ OK ]
[[email protected] ule-sa3]# ls /var/log/local3.log
/var/log/local3.log
[[email protected] ule-sa3]# logger -t ‘LogTest’ -p local3.info ‘KadeFor is testing the rsyslog and logger’
[[email protected] ule-sa3]# cat /var/log/local3.log
Jun 10 04:55:52 kadefor LogTest: KadeFor is testing the rsyslog and logger
[[email protected] ule-sa3]#
自己实验日志发送给某个终端
======================================================================
实例: 过滤特定的日志到文件, 忽略(丢弃)包含某个字符串的日志
======================================================================
# 过滤日志, 由:号开头
:msg, contains, “error” /var/log/error.log
:msg, contains, “error” ~ # 忽略包含error的日志
:msg, contains, “user nagios” ~
:msg, contains, “user kadefor” ~
:msg, contains, “module-alsa-sink.c: ALSA woke us up to write new data to the device, but there was actually nothing to write” ~
local3.* ~
PS.
& ~ # 忽略所有的日志
把包含’oracle’的日志保存在/var/log/oracle.log
======================================================================
实例: 使用模板来定义日志格式
======================================================================
定义默认的日志格式:

$template myFormat,”%rawmsg%\n”
$ActionFileDefaultTemplate myFormat
#如果不要$ActionFileDefaultTemplate myFormat这一行, 就需要像这样来使用模板:
#在日志文件后添加模板名, 并用;号分隔
$template myFormat,”%rawmsg%\n”
# The authpriv file has restricted access.
authpriv.* /var/log/secure;myFormat
# Log all the mail messages in one place.
mail.* /var/log/maillog;myFormat
# Log cron stuff
cron.* /var/log/cron;myFormat
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler;myFormat
# Save boot messages also to boot.log
local7.* /var/log/boot.log;myFormat

======================================================================
实例: remote log 远程发送与接收:
======================================================================
如果要修改为非514的端口, 需要设置selinux
只要在rsyslog.conf中加入
*.* @192.168.0.10
*.* @192.168.0.10:10514 # 带端口号
*.* @@192.168.0.10 # TCP
但是没有定义保存在远程的哪一个文件啊?
其实保存在什么文件, 那是远程日志服务器接收到日志之后它自己的事情了.

时间： 2024-12-25 00:11:15

RSYSLOG没那么简单

RSYSLOG没那么简单的相关文章

缘来幸福没那么简单

/dev/mem可没那么简单

javascript没那么简单(转）

全站HTTPs，没那么简单

马云打错字没那么简单，盯盯惹着钉钉了？

在Linux服务器上增加硬盘没那么简单【转】

(转)Python: super 没那么简单

农夫与蛇？没那么简单！

一个工具就够了？原型设计没那么简单！