rsyslod服务配置

1.rsyslogd 服务

   1.1服务功能

rsyslog是RHEL或centos系统6.x版本的日志服务,代替以前系统的syslog服务。在这个架构中rsyslog服务主要是收集日志的功能,把日志归类,写入数据库。   1.2服务配置文件

/etc/rsyslog.conf

   1.2服务配置

### vim /etc/rsyslog.conf

service.loglevellogfile

*.*                     /var/log/all.log##所有服务的所有日志都放到/var/log/all.log中

2.日志同步

   2.1在日志接收方

关闭接受方火墙systemctl stop firewalld

vim /etc/rsyslog.conf

$ModLoad imudp###加载日志接收功能模块

$UDPServerRun 514###加载日志接收接口

清空日志

监控

重启rsyslogd服务

   2.2在日志发送方

*.*@日志接收方ip(UDP传输)

做完配置重启rsyslogd服务

2.3服务排错步骤:

检查防火墙开关

端口开关

是否重起

3.日志分析

systemd-journald###日志分析进程

journalctl   ###日志分析命令

journalctl -n 5##查看最近生成的5条日志

journalctl -p err##查看系统报错

-f            监控日志

journalctl --since --until ###查看某个时间段生成的日志

journalctl -o verbose   ###查看日志能够使用的条件参数

journalctl_UID=##进程uid

_PID=##进程id

_GID=##进程gid

_HOSTNAME=##进程所在主机

_SYSTEMD_UNIT=##服务名称

_COMM=##命令名称

_SYSTEMD_UNIT=    _PID

4.日志监控工具的设定

默认情况下journalctl是无法看到关机之间产生的日志的

如果向检测到这类日志设置如下

[[email protected] ~]#mkdir /var/log/journal

[[email protected] ~]#chown root:systemd-journal /var/log/journal

[[email protected] ~]#chmod 2755 /var/log/journal

Send the USR1 signal to the systemd-journald or reboot serverX.

[[email protected] ~]#killall -1 systemd-journald

[[email protected] ~]#ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

system.journal user-1000.journal

#journal

5.配置文件

1/etc/rsyslog.conf

2配置文件的基本信息

3配置文件中有很多内容, 但最主要的是指定需要记录哪些服务和需要记录什么等级的信息::

4cat /etc/rsyslog.conf

6    #rsyslog v3 config file

8    # if you experience problems, check

10    # http://www.rsyslog.com/troubleshoot for assistance

12    #### MODULES ####    加载 模块

14    $ModLoad imuxsock.so  –> 模块名    # provides support for local system logging (e.g. via logger command) 本地系统日志

16    $ModLoad imklog.so                    # provides kernel logging support (previously done by rklogd)

18    #$ModLoad immark.so              # provides –MARK– message capability

20    # Provides UDP syslog reception

22    # 允许514端口接收使用UDP协议转发过来的日志

24    #$ModLoad imudp.so

26    #$UDPServerRun 514

28    # Provides TCP syslog reception

30    # 允许514端口接收使用TCP协议转发过来的日志

32    #$ModLoad imtcp.so

34    #$InputTCPServerRun 514

36    #### GLOBAL DIRECTIVES ####

38    定义日志格式默认模板

40    # Use default timestamp format

42    $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

44    # File syncing capability is disabled by default. This feature is usually not required,

46    # not useful and an extreme performance hit

48    #$ActionFileEnableSync on

50    #### RULES ####

52    # Log all kernel messages to the console.

54    # Logging much else clutters up the screen.

56    #kern.*                                                 /dev/console    关于内核的所有日志都放到/dev/console(控制台)

58    # Log anything (except mail) of level info or higher.

60    # Don’t log private authentication messages!

62    # 记录所有日志类型的info级别以及大于info级别的信息到/var/log/messages,但是mail邮件信息,authpriv验证方面的信息和cron时间任务相关的信息除外

64    *.info;mail.none;authpriv.none;cron.none                /var/log/messages

66    # The authpriv file has restricted access.

68    # authpriv验证相关的所有信息存放在/var/log/secure

70    authpriv.*                                              /var/log/secure

72    # Log all the mail messages in one place.

74    # 邮件的所有信息存放在/var/log/maillog; 这里有一个-符号, 表示是使用异步的方式记录, 因为日志一般会比较大

76    mail.*                                                  -/var/log/maillog

78    # Log cron stuff

80    # 计划任务有关的信息存放在/var/log/cron

82    cron.*                                                  /var/log/cron

84    # Everybody gets emergency messages

86    # 记录所有的大于等于emerg级别信息, 以wall方式发送给每个登录到系统的

88    *.emerg                                                 *                  *代表所有在线用户

90    # Save news errors of level crit and higher in a special file.

92    # 记录uucp,news.crit等存放在/var/log/spooler

94    uucp,news.crit                                          /var/log/spooler

96    # Save boot messages also to boot.log     启动的相关信息

98    local7.*                                                /var/log/boot.log

100    #:rawmsg, contains, “sdns_log” @@192.168.56.7:10514

102    #:rawmsg, contains, “sdns_log”

104    # ### begin forwarding rule ###  转发规则

106    # The statement between the begin … end define a SINGLE forwarding

108    # rule. They belong together, do NOT split them. If you create multiple

110    # forwarding rules, duplicate the whole block!

112    # Remote Logging (we use TCP for reliable delivery)

114    #

116    # An on-disk queue is created for this action. If the remote host is

118    # down, messages are spooled to disk and sent when it is up again.

120    #$WorkDirectory /var/spppl/rsyslog # where to place spool files

122    #$ActionQueueFileName fwdRule1 # unique name prefix for spool files

124    #$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)

126    #$ActionQueueSaveOnShutdown on # save messages to disk on shutdown

128    #$ActionQueueType LinkedList   # run asynchronously

130    #$ActionResumeRetryCount -1    # infinite retries if host is down

132    # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional

134    #*.* @@remote-host:514                    # @@表示通过tcp协议发送    @表示通过udp进行转发

136    #local3.info  @@localhost :514

138    #local7.*                                    #            @@192.168.56.7:514

140    # ### end of the forwarding rule ###

时间: 2024-10-14 07:30:10

rsyslod服务配置的相关文章

DNS服务配置及拓展(1)

DNS服务配置及拓展 一.DNS服务的信息说明: A##正向记录 PTR##反向,ip到域名 host -l example.com##查看域中的所有主机 dig -t soa example.com##辅助dns 软件包: bind DNS主配置目录:/var/named/chroot/ DNS主配置文件:/etc/named.conf DNS A记录存放目录:/var/named/chroot/var/named 二.如何配置dns正向解析: 1.vim /etc/named.conf#编辑

Ubuntu 13.04 & 开发板 ---- NFS服务配置

Ubuntu sudo apt-get install nfs-kernel-server sudo apt-get install rpcbind sudo vim /etc/exports /home/xxx *(rw, sync, no_root_squash) sudo /etc/init.d/nfs-kernel-server restart sudo /etc/init.d/rpcbind restart 开发板 mount -o nolock xxx:/home/xxx /mnt/

Linux之Web服务(2)Httpd服务配置之一

Linux之Web服务(2)Httpd服务配置之一 Apache HTTP Server Apache HTTP 服务器,简称Apache,是非常留下的Web服务器软件.通常和脚步语言比如PHP,数据库MySQL一起工作,合成为LAMP栈(Linux, Apache, MySQL, PHP). 当然流行的Web服务器还有nigix,但是nigix虽然轻量级很稳定,但是功能并不如Apache HTTP功能丰富,并且现在的Apache HTTP还支持模块化功能,及可以开发自己的功能模块并加入到此We

Linux之Web服务(2)Httpd服务配置之二

Linux之Web服务(2)Httpd服务配置之二 前言 在上一篇通过一些简单的案例或说明来介绍了部分关于Httpd2.4中httpd.conf配置文件中的配置选项及对应的功能.主要是对访问控制和在处理对指定目录或文件进行访问控制的一些安全问题性的处理.但是一直没有提到访问控制的具体讲解,本篇列出访问控制的具体使用选项和功能,以及其它高级配置. 1.Httpd2.4 文档访问授权具体参数 前提:文档访问授权选项配置只适合在以下标签中生效: <Directory >  <FIles>

Linux之Web服务(2)Httpd服务配置之三

Linux之Web服务(2)Httpd服务配置之三 前言 默认安装的Httpd服务一般只有默认的一个DocumentRoot节点配置,及一个站点文档资源存放根目录,但是在生产环境中需要有多种分类的资源,比如用于外部访问和内部访问,又或者是资源本身类型,比如分别用来存放一些文档.图片.单项加密算法文件等,为了更好分配站点管理的资源,Httpd服务提供了VirtualHost及虚拟主机的配置,可以在一个Httpd服务下模拟进行部署多个站点,这样不同的站点进行不同的配置,更方便进行分布式管理. Vir

Linux之Web服务(2)Httpd服务配置之四

Linux之Web服务(2)Httpd服务配置之四 前言 接上一篇的虚拟主机,本片主要介绍虚拟主机的一些搭建和部署,本篇通过一个具体的案例来显示虚拟主机的作用和特性. 案例功能介绍: (1) 准备DNS解析3个域名或者添加/etc/hostst/3条主机名IP档案,解决域名解析 (2) 基于主机名实现三个虚拟主机 (3) 每虚拟主机使用独立的访问日志和错误日志 (4) 在第二个虚拟主机上提供/status: (5) 在第三个虚拟主机提供路径别名/bbs,访问其它文件系统路径: (6) 第三个虚拟

samba服务配置

Samba服务的配置 配置匿名访问: [[email protected]~]# yum -y install samba samba-client       //安装samba所需的软件包 [[email protected] ~]# vim /etc/samba/smb.conf        //修改配置文件 [global] workgroup =WORKGROUP          //工作组更改为workgroup security = share               //

HTTP服务配置

httpd安装完后的基本信息 服务脚本:/etc/rc.d/init.d/httpd 运行目录:/etc/httpd/ 配置文件:/etc/httpd/conf 主配置文件:/etc/httpd/conf/httpd.conf 扩展配置:/etc/httpd/conf.d/*.conf 实验拓扑: LinuxClient -----RHEL5.9(vmnet1)----------(vmnet1) Win7 Client 实验一:查看默认HTTP配置 找到默认红帽欢迎页面 (/etc/httpd

linux-samba服务配置

1.安装samba包. 2.开启samba /etc/init.d/smb start# 启动Samba服务器 /etc/init.d/smb stop    # 关闭Samba服务器 /etc/init.d/smb status# 查看服务器状态 在Red Hat Enterprise Linux下,输入:smbclient -L //localhost查看共享的文件等信息 3.配置/etc/samba/smb.com 写入要共享的目录及用户访问规则 创建目录并设置相应的权限 (注:在Linu