rsyslog日志管理

日志:一些历史事件按时间序列将其记录,方便查错以及方便核实所发生的事件。

rsyslog的特点:多线程;强大的过滤功能,可实现过滤系统信息中的任意部分;自定义输出格式;适用于企业级别日志记录需求。

系统对指定设施定义了八个消息级别分别是:debug(调试级),info(通知级),notice(注意级别),warn(警告级别),err(错误级别),crit(临界级别),alert(警戒级别),emerg(致命级别)。可见这些级别是由低到高。

在此借助主机(ip172.16.100.90)配置rsyslog服务器。在 rsyslog的主配置文件 /etc/rsyslog.conf 中。

# Log all the mail messages in one place.

mail.*            -/var/log/maillog:mail.*  表示邮件的所有信息,后面指向的存储路径,有个“-”表示启用异步。如果配置文件中出现“mail.info”表示指定info级别以及更高所有级别。若出现mail.=info表示指定info级别,若是mail.!info表示除了info级别。对应级别还会出现“*”,“none”表示任何级别和没有级别。

下面看一下主配置文件的modules部分。

#### MODULES ####

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog   # provides kernel logging support (previously done by rklogd)

#$ModLoad immark  # provides --MARK-- message capability

$ModLoad ommysql

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514    //表示允许514端口接收使用udp协议转发来的日志

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514     //表示允许514端口接收使用TCP协议转发来的日志

在rules模块中

*.info;mail.none;authpriv.none;cron.none                /var/log/messages  //表示记录所有类型的info及以上级别信息到 /var/log/messages,但不包括mail,authpriv和cron的信息

接下来实现一下rsyslog支持将日志存储于MySQL服务器中。

1、安装好mysql数据服务;

#  yum -y install mysql mysql-server

2、安装rsyslog-mysql包;

# yum -y install rsyslog-mysql

3、创建rsyslog依赖的数据库

# mysql < /usr/share/doc/rsyslog-5.8.10/createDB.sql

4、配置rsyslog启用模块,在#### Modules ####中增加$Modload ommysql.

在####rules####段中定义记录日志信息于数据库中增加下面一行

*.info;mail.none;authpriv.none;cron.none :ommysql:127.0.0.1,Syslog,rsysloguser,rsyslogpass

通过webGUI展示日志信息,借助loganalyzer工具,具体操作如下

# yum -y install httpd php php-mysql php-gd

# tar xf loganalyzer-3.6.5.tar.gz

# mkdir /var/www/html/loganalyzer

# cp -r loganalyzer-3.6.5/src/* /var/www/html/loganalyzer/

# cp -r loganalyzer-3.6.5/contrib/* /var/www/html/loganalyzer/

# cd /var/www/html/loganalyzer/

# chmod +x configure.sh secure.sh

# ./configure.sh

# ./secure.sh

# chmod 666 config.php

# chown -R apache.apache ./*

配置成功之后则可访问http://172.16.100.90/loganalyzer

详细日志信息如下

时间: 2024-12-11 15:05:25

rsyslog日志管理的相关文章

rsyslog日志管理(mariadb+loganalyzer)

这里演示的只是简单的本地LAMP结构,mysql用来存储由rsyslog服务发来的日志,php用来运行loganalyzer程序. loganalyzer是一个php应用,用来展示mysql中存储的日志. loganalyzer下载地址: http://download.adiscon.com/loganalyzer/loganalyzer-4.1.3.tar.gz 目录: 1.安装LAMP. 3.mysql给rsyslog授权存储日志. 注意:时间同步. loganalyzer所在系统:cen

20181219日志管理基础

日志管理基础 rsyslog 日志管理logrotate 日志轮转采集 -----> 分析一.处理日志的进程rsyslogd: 绝大部分日志记录,和系统操作有关,安全,认证 sshd,su,计划任务 at,cron...httpd/nginx/mysql: 可以以自己的方式记录日志[[email protected] ~]# ps aux |grep rsyslogdroot 717 0.0 0.0 219752 3880 ? Ssl 09:05 0:00 /usr/sbin/rsyslogd

日志管理-rsyslog日志服务器及loganalyzer

一,日志基础 日志:记录时间,地点,任务,事件 格式:日期时间 主机 进程[pid]: 事件内容 rsyslog 特性: 多线程,UDP, TCP, SSL, TLS, RELP,MySQL, PGSQL, Oracle实现日志存储 强大的过滤器,可实现过滤记录日志信息中任意部分,自定义输出格式 日志分类:facility(不同类存放于不同文件) auth, authpriv, cron, daemon,ftp,kern, lpr, mail, news, security(auth), use

linux 学习 14 日志管理

第十四讲 日志管理 14.1 日志管理-简介 1.日志服务 ?在CentOS 6.x中日志服务已经由rsyslogd取代了原先的syslogd服务.rsyslogd日志服务更加先进,功能更多.但是不论该服务的使用,还是日志文件的格式其实都是和syslogd服务相兼容的,所以学习起来基本和syslogd服务一致. ?rsyslogd的新特点: ?基于TCP网络协议传输日志信息; ?更安全的网络传输方式: ?有日志消息的及时分析框架: ?后台数据库: ?配置文件中可以写简单的逻辑判断: ?与sysl

Linux的日志管理

Linux日志的管理 日志:记录了你几乎所有的操作记录,用于系统的审核,故障的排除.日志文件永久存放在日志目录中,系统日志保存在/var/log中 rsyslog 按照日志类型分类,把所有日志记录到/var/log目录下. /var/log/messages是许多进程日志文件的汇总,从该文件可以看出任何入侵企图或成功的入侵. /var/log/secure 与安全相关的日志. /var/log/cron 与计划任务相关的日志. /var/log/boot.log与系统启动的相关日志,只保留本次系

第十章笔记 日志管理 同步时间

###系统日志默认分类### /var/log/messages    #系统服务及日志,包括服务的信息,报错等等/var/log/secure         #系统认证信息日志/var/log/maillog         #系统邮件服务信息/var/log/cron            #系统定时任务信息/var/log/boot.log      #系统启动信息 ###日志管理服务rsyslog### rsyslog负责采集日志和分类存放日志 *rsyslog日志分类 主配置文件 

第13章 Linux日志管理

1. 日志管理 (1)简介 在CentOS 6.x中日志服务己经由rsyslogd取代了原先的syslogd服务.rsyslogd日志服务更加先进,功能更多.但是不论该服务的使用,还是日志文件的格式其实都是和syslogd相兼容的. (2)rsyslogd的新特点 ①基于TCP网络协议传输日志信息 ②更安全的网络传输方式 ③有日志消息的及时分析框架 ④后台数据库 ⑤配置文件中可以写简单的逻辑判断. ⑥与syslogd配置文件相兼容 (3)查看rsyslogd服务是否启动: ①#ps aux |

linux安全---远程日志管理

远程日志管理: S:192.168.10.115 C:192.168.10.43 1.S,C端安装rsyslog yum  -y  install  rsyslog 2.修改S端配置监听514端口,提供远程日志存放. vi  /etc/rsyslog.conf   ##去掉13,14,17,18的注释 12 # Provides UDP syslog reception 13 $ModLoad imudp 14 $UDPServerRun 514 15 16 # Provides TCP sys

rsyslog日志记录服务器

一.syslog系统 1.syslog:系统日志服务,统一日志管理 支持C/S架构:可通过UDP或TCP协议提供日志记录服务:实现集中收集日志功能 (1)日志.事件 历史事件日志,保存系统上过去一段时间的发生的事件 事件:系统引导启动.应用程序启动.应用程序尤其是服务类应用程序运行过程中的一些事件: (2)syslog种类 syslogd:system系统日志 klogd:kernel内核日志 2.syslog格式 事件产生的日期时间               主机        进程[pid