CentOS 7下如何设置Rsyslog客户端向Rsyslog服务器发送日志CentOS 7下如何设置Rsyslog客户端向Rsyslog服务器发送日志科技照百家号日志管理是网络基础架构中最重要的组件之一。许多系统软件都会生成日志信息，例如：实用程序，应用程序，守护程序，与网络、内核、物理设备等相关的服务等等程序。在解决Linux系统问题、监视系统和审查系统的安全强度等问题时，日志文件是非常有用的。Rsyslog是一个开源的日志程序，它是大量Linux发行版中最流行的日志记录机制。它也是CentOS 7或RHEL 7中的默认日志记录服务。CentOS中的Rsyslog守护进程可以配置为作为服务端运行，以便从多个网络设备收集日志信息。这些设备充当客户端，并配置为将其日志信息传送给Rsyslog服务器。但是，也可以在客户端模式下配置和启动Rsyslog服务。此设置指示rsyslog守护程序使用TCP或UDP传输协议将日志消息转发到远程Rsyslog服务器。 Rsyslog服务也可以配置为在同一时间作为客户端和作为服务器运行。在本教程中，我们将介绍如何设置CentOS/RHEL 7 Rsyslog守护程序，将日志消息发送到远程Rsyslog服务器。此设置确保您的机器磁盘空间可以保留以存储其他数据。在CentOS系统中，几乎所有日志文件默认写入的地方都是/var系统路径。也建议始终为/var目录创建一个单独的分区，该目录可以动态生成，以便不排除/（根）分区。Rsyslog客户端始终以明文形式发送日志消息，否则不指定。您不应该设置Rsyslog客户端通过Internet或网络传输日志消息，而这些不是完全控制的。步骤一：验证Rsyslog是否已安装1.默认情况下，CentOS 7系统已经安装好了Rsyslog守护程序并且它已居后台运行中了。为了验证你的系统中是否存在rsyslog服务，请执行以下命令：[root@service-labs.com ~]# rpm -q | grep rsyslog[root@service-labs.com ~]# rsyslogd -v2.如果你的CentOS系统中未安装Rsyslog软件包，请执行以下命令安装该服务：[root@service-labs.com ~]# yum install rsyslog步骤二：将Rsyslog服务配置为客户端3.为了执行安装在CentOS 7系统上的Rsyslog守护进程作为日志客户端，并将所有本地生成的日志消息路由到远程Rsyslog服务器，请修改rsyslog配置文件，如下所示：首先打开主配置文件进行编辑。[root@service-labs.com ~]# vi /etc/rsyslog.conf然后，在文件末尾追加下面的一行：*. * @192.168.10.254:514在上述行中确保相应地替换远程rsyslog服务器FQDN的IP地址为你自己的rsyslog服务器地址。 上述行指示Rsyslog守护程序通过514 / UDP端口将所有日志消息（不管设施或严重程度）发送到主机192.168.10.254:514。4.如果将远程日志服务器配置为只侦听TCP连接，或者想要使用可靠的传输网络协议（如TCP），请在远程主机前添加另一个@字符，如下例所示：*. * @@logs.serviec-labs.com:514Linux rsyslog还允许有一些特殊字符，例如=或！，它们可以作为优先级前缀，以表示“仅此优先级”等号，而“不是此优先级或高于此”。CentOS 7中的一些Rsyslog优先级限定符示例：kern.info = kernel logs with info priority and higher.kern.=info = only kernel messages with info priority.kern.kern.!err = only kernel messages with info, notice, and warning priorities.kern.kern.!=warning = all kernel priorities except warning.kern.* = all kernel priorities messages.kern.none = don’t log any related kernel facility messages regardless of the priority.例如，假设您只想将特定工具消息发送到远程日志服务器，例如所有相关的邮件消息，而不考虑优先级，请将以下行添加到rsyslog配置文件中：mail.* @192.168.10.254:5145.最后，为了应用新配置，需要重新启动Rsyslog服务，以便守护程序通过运行以下命令来接管更改：[root@service-labs.com ~]# systemctl restart rsyslog.service6.如果由于某些原因，在启动时没有启用Rsyslog守护程序，请执行以下命令以启用服务系统范围：[root@service-labs.com ~]# systemctl enable rsyslog.service步骤三：将Apache和Nginx日志发送到远程日志服务器7. Apache HTTP服务器可以配置为通过将以下行添加到其主配置文件中将日志消息发送到远程syslog服务器，如下面的示例所示。[root@service-labs.com ~]# vi /etc/httpd/conf/httpd.conf在Apache主要的conf文件中添加以下行。CustomLog &| /bin/sh -c '/usr/bin/tee -a /var/log/httpd/httpd-access.log | /usr/bin/logger -thttpd -plocal1.notice'& combined该行将强制执行HTTP守护程序，将日志消息内部写入文件系统日志文件，还可以通过管道到记录器实用程序进一步处理消息，从而将它们发送到远程syslog服务器，将其标记为来自local1设施。8.如果您还要将Apache错误日志消息指向远程syslog服务器，请添加上述示例中所示的新规则，但请确保将httpd日志文件的名称和日志文件严重性级别替换为 匹配错误优先级，如以下示例所示：ErrorLog &|/bin/sh -c '/usr/bin/tee -a /var/log/httpd/httpd-error.log | /usr/bin/logger -thttpd -plocal1.err'&9.添加上述行后，需要重新启动Apache守护程序以应用更改，方法是发出以下命令：[root@service-labs.com ~]# systemctl restart httpd.service10.从版本1.7.1起，Nginx Web服务器具有内置功能，可通过将以下代码行添加到nginx配置文件中直接将其消息记录到远程syslog服务器。error_log syslog:server=192.168.1.10:514,facility=local7,tag=nginx,severity=access_log syslog:server=192.168.10.254:514,facility=local7,tag=nginx,severity=对于IPv6服务器，请使用以下语法格式来包含IPv6地址。access_log syslog:server=[7101:dc7::9]:514,facility=local7,tag=nginx,severity=11.在远程Rsyslog服务器上，您需要对rsyslog配置文件进行以下更改，以便接收Apache Web服务器发送的日志。local1.* @Apache_IP_address:514就这样！ 您已成功配置Rsyslog守护程序以客户端模式运行，并且还指示Apache HTTP服务器或Nginx将其日志消息转发到远程syslog服务器。如果系统崩溃，您应该能够通过检查存储在远程syslog服务器上的日志文件内容来调查问题。本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。科技照百家号最近更新：简介:IT行业日常资讯，最新写照作者最新文章相关文章2009年12月 Web 开发大版内专家分月排行榜第二
2009年10月 Web 开发大版内专家分月排行榜第三
匿名用户不能发表回复！|Linux之Rsyslog服务 - 简书
Linux之Rsyslog服务
Rsyslog服务简介
Rsyslog是syslog的升级版本, 其在RHEL5的版本中, 名称为syslog.在RHEL6/7其升级为Rsyslog. Rsyslog是一个日志管理系统,记录过去某个时间发生的事件,及事件级别进行定义并记录到指定位置. 其支持C/S架构,可通过UDP/TCP协议提供日志记录服务.Rsyslog日志格式较为简单.
Rsyslog的服务进程
syslogd : 系统日志(用户空间的各应用程序相关的日志)
Klogd : 内核日志(kernel相关的日志),在RHEL6中, Klogd由syslog代为管理.
Rsyslog的特性:
多线程的服务,并发性能好
可以使用udp,tcp,ssl,tls,relp等协议完成信息收集
将日志可存储在mysql,pgsql,oracle等数据库管理系统中
强大的自定义过滤器,实现过滤日志信息中任何部分内容
自定义输出格式
Rsyslog的相关文件
/etc/rsyslog.conf : 主配置文件
/etc/rsyslog.d/*.conf : 辅助配置文件
/lib64/rsyslog/*.so : rsyslog的功能扩展模块位置,I开始的文件表示,从那收集, O开始的文件表示,将日志记录到那
Rsyslog的重要术语
facility(产生日志的设施,从功能和程序上对日志收集进行分类)
auth : 身份认证
aupriv : 授权
cron : 计划任务
kern : 内核
lpr : 打印
mail : 邮件
mark : 防火墙
news : 新闻
security : 安全
user : 用户
syslog : 系统日志
local0-local7 : 用户自定义级别
priority (日志级别)
debug : 调度信息
info : 基本信息
notice : 提醒
warn : warning, 警告
err : critical, 危险的
alert : 橙色警告
emerg : 红色警告
* : 所有级别
none : 没有级别,不记录
PRIORITY : 此级别以及高于此级别的所有级别
=PRIORITY : 仅此级别
/etc/rsyslog.conf的组成部分
加载的模块
$ModLoad ommysql
全局配置指令
日志记录规则
facility.priority target
####记录系统所有的info及以上的日志,但不包含mail,authpriv,cron的日志
*.mail.authpriv.cron.none /var/log/message
####记录任务计划的所有日志
cron.* /var/log/cron
####记录所有的emerg级别日志,通过模块输出给所有用户一则消息
*.emerg :omusrmsg:*
####将指定的日志发送给指定的日志服务器
@172.16.36.70
文件: 记录日志事件于指定的文件中,通常应用位于/var/log目录下,文件路径之前的"-"表示异步写入
用户: 将日志事件通知给指定的用户, 是通过将信息发送给登陆到系统上的用户的终端上
日志服务器: 使用@host,把日志送往指定的服务器主机
Host : 即日志服务器地址,监听在tcp/udp的514端口
管道: |COMMAND
注意: 在日志文件中, 填写的指令必须在相应的段出来,例如:不能将加载的模块配置信息填写到rules(日志记录规则)处
/etc/rsyslog.conf的日志的配置格式
事件产生的时间及日期
进程[PID]:事件信息本身
利用rsyslog服务输出到数据库中,并且由loganalyzer展示
安装rsyslog连接数据库的驱动
yum install rsyslog-mysql : 生成ommysql.so模块,和createdb.sql数据脚本(用于创建所需的数据库)
连接数据库,并且为此创建用户及建立所需数据库
mysql & /usr/share/doc/rsyslog-mysql-7.4.7/createdb.sql
source /usr/share/doc/rsyslog-mysql-7.4.7/createdb.sql
(两个方法使用其中一个即可)
配置rsyslog.conf文件
模块位置定义
$ModLoad ommysql
rules定义位置
cron.* :ommysql:172.16.36.70,DATABASE,USER,PASSWORD
重启rsyslog服务
安装loganalyzer
准备lamp环境
yum install httpd php php-mysql php-gd
下载loganalyzer软件包
tar xf loganalyer-3.6.5.tar.gz
cp -r loganalyer-3.6.5.tar.gz/src/var/www/html/loganalyzer
cp -r loganalyzer-3.6.5/contrib/*sh
/var/www/html/loganalyzer
cd /var/www/html/loganalyzer/
chmod +x *.sh
./configure.sh
./secure.sh
chmod 666 config.php
通过URL访问并配置
查看当前系统成功登录系统的日志,日志位置/var/log/wtmp
当前系统尝试登录失败的日志,日志位置/var/log/btmp
内核完成自身初始化过程中, 探测的各种硬件的日志信息,日志位置/var/logdmesg.
显示当前系统上所有用户的最近一次登陆时间
Linux强大的日志收集及展示平台
elk stack : elasticsearch ,强大的分布式日志收集引擎
logstash : 从各主机收集日志, 导入elk stack的工具
kibana : 极为美观的展示日志结果的界面工具
Linux從業菜鳥壹枚
1 概述 系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。 学会查看并管理日志是运维管理人员必备技能。本文将对日志进行相关概...
实验介绍 日志数据可以是有价值的信息宝库，也可以是毫无价值的数据泥潭。它可以记录下系统产生的所有行为，并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错，优化系统的性能，或者根据这些信息调整系统的行为。收集你想要的数据，分析出有价值的信息，可以提高系统、...
【MySQL】Linux下MySQL 5.5、5.6和5.7的RPM、二进制和源码安装 1.1BLOG文档结构图 1.2前言部分 1.2.1导读和注意事项 各位技术爱好者，看完本文后，你可以掌握如下的技能，也可以学到一些其它你所不知道的知识，~O(∩_∩)O~： ①MySQ...
日志管理Rsyslog [TOC] 背景 有一个4台机器的分布式服务，不多不少，上每台机器上查看日志比较麻烦，用Flume，Logstash、ElasticSearch、Kibana等分布式日志管理系统又显得大材小用，所以想到了centos自带的rsyslog。 简介 Rs...
syslog服务器可以用作一个网络中的日志监控中心，所有能够通过网络来发送日志的设施（包含了Linux或Windows服务器，路由器，交换 机以及其他主机）都可以把日志发送给它。 通过设置一个syslog服务器，可以将不同设施/主机发送的日志，过滤和合并到一个独立的位置，这...
对于互联网金融来说，2016年可谓“冰火两重天”。 一方面，网贷之家统计数据显示，2016网贷行业累计出现问题平台1397家，其中，停业880家，占问题平台总数的63%；转型14家；剩余503家分别为跑路、提现困难和经侦介入，行业乱象让监管快马加鞭，网贷新规陆续出台，互联网...
“红袖……” 模模糊糊的，刘云帆的脑袋还有一点疼，他翻过身子，大手想要去把身旁的女子温柔的搂住。 经过昨夜的一番疯狂，此时此刻，他心中已经做了决定，无论未来如何，他绝不辜负这个对他一往情深的女子！ 只是，刘云帆的手却忽然摸了一个空。 “空的？怎么会……”刘云帆心里感觉到不对...
泡沫陈浅的独白 我想这个世界上的幸与不幸都是相互的，从小我走到哪里都受人关注。吃饭时所有人都将就着我，把好的留给我，去哪家做客，别人总是很热情的招呼我。 一直以来，所有人都围着我身边转，上学时连老师都让着我三分，我学习成绩一般，却年年拿三好学生奖，还有其它一些荣誉的奖状都发...
笔记 个人领域的习惯 一、积极主动 ＊永远有选择权 ＊专心做自己影响圈内（力所能及）的事，长此以往，影响圈会逐渐扩大。 二、以始为终 “生活重心摇摆不定，情绪难免起起落落。” 以原则为中心度过我们的人生。原则由我们自己信奉，完全可控，给我们力量和安全感。 三、要事第一 ＊时...
创建 Date 实例用来处理日期和时间。Date 对象基于日（世界标准时间）起的毫秒数。 value 代表自日00:00:00 (世界标准时间) 起经过的毫秒数。 dateString 表示日期的字符串值。该字符串应该能被 Date.pars...新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
巨富豪门, 积分 27655, 距离下一级还需 12345 积分
论坛徽章:210
目前准备精简一些系统服务，不知道rsyslog有什么用处，删掉之后对系统有什么影响？？
论坛徽章:43
这是日志服务，如果你不关心系统出问题后需要找原因的话，没什么影响。另外一个问题是有其他服务可能会依赖它才能正常运行的，正常都不会禁用这个服务的。
论坛徽章:202
禁用也没有大问题的
Rsyslog 是 RHEL6 开始的默认系统 syslog 应用软件(当然，RHEL 自带的版本较低，实际官方稳定版本已经到 v8 了)。官网地址：
目前 Rsyslog 本身也支持多种输入输出方式，内部逻辑判断和模板处理。
(157.3 KB, 下载次数: 7)
18:38 上传
巨富豪门, 积分 27655, 距离下一级还需 12345 积分
论坛徽章:210
我是大便粉，有点不一样
论坛徽章:379
禁用日志服务不是什么好主意,很多时候排错还是需要查看日志来定位错误的
小富即安, 积分 3477, 距离下一级还需 1523 积分
论坛徽章:15
没有明确原因不建议停止日志服务鎵?竴鎵?紝璁块棶寰?ぞ鍖}