rsyslog配置

# rsyslog v5 configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES ####  模块信息

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
#$ModLoad immark  # provides --MARK-- message capability

# Provides UDP syslog reception  允许接收通过514端口发送过来的UDP日志
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception  允许接收通过514端口发送过来的TCP日志
#$ModLoad imtcp
#$InputTCPServerRun 514

#### GLOBAL DIRECTIVES ####

# Use default timestamp format      默认模板格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on

# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf

#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don‘t log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog

# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$WorkDirectory /var/lib/rsyslog # where to place spool files
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList   # run asynchronously
#$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###

格式：

　　日志类型.日志级别日志处理方式（action）

日志类型:

auth	pam产生的日志
authpriv	ssh,ftp等登录信息的验证信息
cron	时间任务相关
kern	内核日志
lpr	打印
mail	邮件
news	新闻组
user	用户程序产生的相关日志
uucp	unix to unix copy, unix主机之间相关的通讯
local 1~7	用户自定义的日志设备

日志级别（man 3 syslog）：

debug	调试级别
info	一般信息
notice
warning	unix to unix copy, unix主机之间相关的通讯
err	用户自定义的日志设备
crit
alert
emerg
none

连接符号：

　　.xxx 等于或大于xxx级别的信息

　　.=xxx 等于xxx级别的信息

　　.!xxx 除了xxx之外的信息

日志处理方式：

　　1. 记录到文件或设备文件

　　　　*.* /var/log/sysfile.log
　　　　*.* /dev/pts/0

　　2. 发送到远程

　　　　*.* @192.168.0.1 # 使用UDP协议转发到192.168.0.1的514端口
　　　　*.* @@192.168.0.1:9514 # 使用TCP协议转发到192.168.0.1的9514端口

　　3. 发送给用户

　　4. 丢弃

　　　　local3.* ~ # 忽略所有local3类型的所有级别的日志

　　5. 执行脚本

　　　　local3.* ^/tmp/a.sh # ^号后跟可执行脚本或程序的绝对路径

时间： 2024-08-06 11:58:38

rsyslog配置的相关文章

rsyslog 配置

转自:https://blog.51cto.com/11555417/2163289 rsyslog 配置在centos7中,默认的日志系统是rsyslog,它是一个类unix计算机系统上使用的开源工具,用于在ip网络中转发日志信息.rsyslog采用模块化设计,是syslog的替代品.rsyslog具有如下特点: 实现了基本的syslog协议. 直接兼容syslogd的syslog.conf配置文件在同一台机器上支持多个rsyslogd进程丰富的过滤功能,可将消息过滤后再转发灵活的配置

rsyslog配置解析

RSYSLOG is the rocket-fast system for log processing. 本地Rsyslog版本: 8.25.0-1.el6.x86_64 配置基本语法 Rsyslog 现在支持三种配置语法格式: sysklogd legacy rsyslog RainerScript sysklogd 是老的简单格式,一些新的语法特性不支持.legacy rsyslog 是以dollar符($)开头的语法,在v6及以上的版本还在支持,一些插件和特性可能只在此语法下支持.Ra

rsyslog配置错误导致日志messages secure tallylog spooler 0byte空没有日志

今天在配置rsyslog时突然发现messages secure tallylog spooler这几个日志文件全部为0,而且做任何操作都不产生日志. 通过快照文件对比,发现是rsyslog的conf文件中使用$ActionFileDefaultTemplate模块导致的. 解决方法: 在$前加#号注释,或直接删除$ActionFileDefaultTemplate即可. 然后重启rsyslog服务 service rsyslog restart

【Linux】【Web】【Nginx】配置nginx日志到远程syslog服务器

1. 概述: 主要是用于吧nginx的日志直接传送到远程日志收集的服务器上.远程日志服务器只要能够支持syslog协议都能够收到日志,本文的syslog服务器是IBM的日志收集系统Qradar. 2. 环境: OS:Red Hat Enterprise Linux Server release 6.7 (Santiago) Kernel:Linux cftjnginx01.homecredit.cn 2.6.32-573.el6.x86_64 #1 SMP Wed Jul 1 18:23:37

syslog/rsyslog的使用

syslogd是Linux下的一个记录日志文件服务.从结构来说,可以理解为这个服务下面有一系列的子服务,例如mail.auth.cron.kern等等,这些子服务对外提供日志记录的功能,而当其它的程序或服务需要记录日志的时候,就可以直接调用这些子服务将日志记录到设定的地方.而配置这整个守护进程以及其子服务的地方就是/etc/syslog.conf这个文件. 说明而目前不少的Linux发行版已经用rsyslogd将syslogd代替了.rsyslogd是syslogd的升级版,其配置语法与sys

Rsyslog日志收集服务并结合Loganalyzer工具展示

一.日志概述 1.rsyslog简介 syslog是日志收集存储系统,负责记录遵守此服务的内核.程序的日志信息.一般记录为:"日期时间,主机,进程:事件".syslog不仅可以记录本地的系统日志,也可以通过tcp, udp协议记录远程主机的程序日志信息. syslog:系统日志,是一种服务,有两个进程 syslogd:记录应用程序相关的日志 klogd:记录内核相关的日志 rsyslog:是syslog的升级版,使用多线程并发记录本地或远程日志,支持存储日志信息在MySQL,PGSQL

rsyslog日志服务

日志下周文件服务 ftp,nfs,samba *防火墙 iptables pam 下下周 nginx 集群 lvs 日志:历史事件记录:但不是操作步骤的记录事件:时间,时间,日志级别(定义事件的关键程度) syslog: c5 klogd:为kernel记录信息 syslogd:为系统记录日志较小规模的日志系统记录格式:日期时间,主机,进程号:事件内容 C/S架构:通过tcp或udp提供日志记录服务 rsyslog 增强版syslog c6,7 rsyslogd特性:多线程 udp

rsyslog+loganalyzer+mysql部署日志服务器

rsyslog是一个用来管理系统日志的开源程序,是早前syslog的升级版,对原有的日志系统进行了功能的扩展. rsyslog守护进程可以被配置成两种环境,一种是配置成日志收集服务器,rsyslog进程可以从网络中收集其它主机上的日志数据,这些主机会将日志配置为发送到另外的远程服务器.另外就是可以配置为客户端,用来过滤和发送内部日志数据到本地文件夹(如/var/log)或一台远程rsyslog服务器上. 一.rsyslog特性多线程支持通过TCP,SSL,TLS,RELP协议实现日志数据的可

rsyslog center诡异丢日志问题分析解决

一,问题情景: 我们有多台apache server,apache上的access log会通过rsyslog client传送给rsyslog center汇总并展示给用户.最近一段时间,有多个用户反馈自己的access log不全,有丢失的现象. 二,查找原因及解决办法: 1,部署监控我们给一个rsyslog center做了一个监控,每2min钟curl 5次指定的url,然后看rsyslog center是否出现此log,把每2min的丢失数量展示在graphite中.以便于我们对日志