syslog-ng日志收集分析服务搭建及配置

syslog-ng日志收集分析服务搭建及配置：
1、网上下载eventlog_0.2.12.tar.gz、libol-0.3.18.tar.gz、syslog-ng_3.3.5.tar.gz三个软件；

2、解压及安装服务端：

[[email protected] tools]# tar xf eventlog_0.2.12.tar.gz
[[email protected] tools]# cd eventlog-0.2.12/
[[email protected] eventlog-0.2.12]# yum -y install gcc*
[[email protected] eventlog-0.2.12]# ./configure --prefix=/usr/local/eventlog
[[email protected] eventlog-0.2.12]# make &&make install

[[email protected] tools]# tar xf libol-0.3.18.tar.gz
[[email protected] tools]# cd libol-0.3.18
[[email protected] libol-0.3.18]# ./configure --prefix=/usr/local/libol
[[email protected] libol-0.3.18]# make &&make install

[[email protected] tools]# tar xf syslog-ng_3.3.5.tar.gz
[[email protected] tools]# cd syslog-ng-3.3.5/
[[email protected] syslog-ng-3.3.5]# export PKG_CONFIG_PATH=/usr/local/eventlog/lib/pkgconfig ##设置环境变量，不然安装不成功；
[[email protected] syslog-ng-3.3.5]# yum -y install glib* ##可能会需要安装glib依赖包；
[[email protected] syslog-ng-3.3.5]# ./configure --prefix=/usr/local/syslog-ng --with-libol=/usr/local/libol/
[[email protected] syslog-ng-3.3.5]# make &&make install
[[email protected] syslog-ng-3.3.5]# cp contrib/init.d.RedHat /etc/init.d/syslog-ng ##拷贝启动的文件；
[[email protected] syslog-ng-3.3.5]# chmod +x /etc/init.d/syslog-ng

[[email protected] etc]# vim /etc/init.d/syslog-ng ##编辑启动文件，修改下面三行；

INIT_PROG="/usr/local/syslog-ng/sbin/syslog-ng"
INIT_OPTS="-f /usr/local/syslog-ng/etc/syslog-ng.conf"
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/syslog-ng/bin:/usr/local/syslog-ng/sbin ##给予执行权限；

[[email protected] syslog-ng-3.3.5]# cd /usr/local/syslog-ng/etc/
[[email protected] etc]# cp syslog-ng.conf syslog-ng.conf.bak	##把配置文件做个备份；
[[email protected] etc]# vim syslog-ng.conf
#############################################################################
## Default syslog-ng.conf file which collects all local logs into a
## single file called /var/log/messages. 

@version: 3.3
@include "scl.conf"

source s_local {
system();
internal();
};

options {
flush_lines(10);
flush-timeout(5000);
log-fifo-size(100000);
chain-hostnames(no);
use-dns(persist_only);
use-fqdn(no);
create-dirs(yes);
keep-timestamp(yes);
};

source s_network {
tcp(ip(0.0.0.0) port(514));
udp(ip(0.0.0.0) port(514));
}; 

filter f_111 {
level(info..emerg);
host("x.x.x.x"); ##定义过滤的日志源的地址；
message("dept=222") and message("task"); ##定义过滤的日志消息的内容；

};

destination d_file {
file("/data/log/syslog-ng/222/$YEAR$MONTH$DAY$HOUR$MIN/222-task.log" create_dirs(yes));
};

log {
source(s_network);
filter(f_111);
destination(d_file);
};

3、安装客户端：
安装方法和上面的一样，就是配置文件不一样；

[[email protected] etc]# vim syslog-ng.conf ##客户端配置文件；
@version:3.3
options {
log_msg_size(16384);
flush_lines(1);
log_fifo_size(1000000);
time_reopen(10);
use_dns(no);
dns_cache(yes);
use_fqdn(yes);
keep_hostname(yes);
check_hostname(yes);
create_dirs(yes);
dir_perm(0755);
perm(0644);
stats_freq(1800);
};

source s_internal { internal(); };

destination d_syslognglog { file("/var/log/syslog-ng.log"); };

log { source(s_internal); destination(d_syslognglog); };

source game_local {
file("/data/log/act.log" follow_freq(1) flags(no-parse)); ##指定客户端这边的日志源地址；
};

#destination d_game_local {file("/data/log/$YEAR$MONTH$DAY/act.log" perm(0644) dir_perm(0755) create_dirs(yes));};
destination d_game_remote {tcp("x.x.x.x" port(514));}; ##指定服务端的ip地址和端口号；

##log {source(s_game_local);destination(d_game_local);};
log {source(game_local);destination(d_game_remote);}; ##调用上面的source定义的名字和destination定义的名字生产的一条发送命令；

[[email protected] etc]# /etc/init.d/syslog-ng restart
Stopping Kernel Logger: [ OK ]
Starting Kernel Logger: [ OK ]

4、测试：
从别地地方导入一份文件是act1.log到客户端，改名为act.log测试：

[[email protected] log]# cat act1.log >>act.log

服务端查看：
[[email protected] ~]# ls /data/log/
syslog-ng
[[email protected] ~]# ls /data/log/syslog-ng/
222
[[email protected] ~]# ls /data/log/syslog-ng/game2/
20170214
[[email protected] ~]# ls /data/log/syslog-ng/game2/20170214/
222-task.log

时间： 2024-08-26 02:03:36

syslog-ng日志收集分析服务搭建及配置的相关文章

结合Docker快速搭建ELK日志收集分析平台

结合Docker快速搭建ELK日志收集分析平台 2017-03-27 09:39 阅读 172 评论 0 作者:马哥Linux运维-Eason ELK Stack ELK (Elasticsearch + Logstash + Kibana),是一个开源的日志收集平台,用于收集各种客户端日志文件在同一个平台上面做数据分析. Introduction Elasticsearch, 基于json分析搜索引擎Logstash, 动态数据收集管道Kibana, 可视化视图将elasticsearh所收集

logstash日志收集分析系统elasticsearch&kibana

logstash日志收集分析系统Logstash provides a powerful pipeline for storing, querying, and analyzing your logs. When using Elasticsearch as a backend data store and Kibana as a frontend reporting tool, Logstash acts as the workhorse. It includes an arsenal of

elkb+redis建立日志收集分析系统

一.ELKB说明 elastic提供了一套非常高级的工具ELKB来满足以上这几个需求.ELKB指的是用于日志分析或者说数据分析的四个软件,各自拥有独立的功能又可以组合在一起.先来简单介绍一下这四个软件. Elastic Search: 从名称可以看出,Elastic Search 是用来进行搜索的,提供数据以及相应的配置信息(什么字段是什么数据类型,哪些字段可以检索等),然后你就可以自由地使用API搜索你的数据. Logstash:.日志文件基本上都是每行一条,每一条里面有各种信息,这个软件的功

日志收集分析系统架构

日志收集分析系统架构一．部署架构日志收集系统一般包括如图所示三层.Web服务器层,日志收集层,日志存储层.Web服务器层是日志的来源,一般部署web应用供用户访问,产生日志,该节点上一般需要部署日志收集程序的agent.日志收集层手机web服务器产生的日志传输给日志存储层,存储层一般使用分布式文件系统HDFS,日志可以存储在hdfs上或者hbase上. 以scribe作为日志收集系统架构,scribe分为scribe agent和scribe server 以kafka作为日志收集系统架

ELK：日志收集分析平台

目录简介环境说明 Filebeat 部署 web上采集配置文件 app上采集配置文件 Redis 部署配置文件 Logstash 部署 Elasticsearch 集群部署配置文件 Kibana 部署参考文档简介 ELK是一个日志收集分析的平台,它能收集海量的日志,并将其根据字段切割.一来方便供开发查看日志,定位问题:二来可以根据日志进行统计分析,通过其强大的呈现能力,挖掘数据的潜在价值,分析重要指标的趋势和分布等,能够规避灾难和指导决策等.ELK是Elasticsearch公司出品

[转帖]FTP服务搭建与配置

FTP服务搭建与配置 https://blog.csdn.net/zhengyshan/article/details/81058194 原作者写的很好.. 比我写的好一百倍.. 原创zhengyshan 发布于2018-07-15 22:52:06 阅读数 69 收藏展开 FTP介绍FTP是File Transfer Protocol(文件传输协议,简称文传协议)的英文简称,用于在Internet上控制文件的双向传输. FTP的主要作用就是让用户连接一个远程计算机(这些计算机上运行着FTP服务

[译]SQL Server分析服务的权限配置

简介: 本文介绍如何配置SSAS数据库和cube相关维度的安全设置. 相对数据引擎来说,在Management Studio中配置分析服务的安全设置基本没什么区别.但是也会有一些限制,比如SSAS的权限配置都是围绕角色进行的,其次,角色的成员必须是基于windows或者ad环境的,SQL Server用户(比如sa)是无法使用的.还有,权限是无法直接授予给windows或者ad用户或者组的,这些用户或者组必须填加到角色中才可以.另外,如果UAC处于打开的状态,那么比如要以"Run as Admi

SQL Server分析服务的权限配置

FTP服务搭建与配置

14.4 exportfs命令 exportfs命令用来管理当前NFS共享的文件系统列表. Options:-a:全部卸载或全部挂载-r:重新挂载-u:卸载某个目录-v:显示共享目录常用组合: exportfs -arv服务端更改配置文件后,不重启服务,直接执行该命令就可以使更改后的配置文件生效. 注意: 在重启nfs服务之前需要先将所有挂载点卸载,否则将发生程序错误,严重者会拖垮系统. 以上操作均在服务端进行!!! 14.5 NFS客户端问题针对NFS4版本在centos6中应用存在如下问