注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

系统日志监控集中处理  

2015-09-18 11:21:14|  分类: 记录日志分析 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

         Rsyslog is Rocket-fast System for Log processing.Rsyslog是linux系列默认的日志处理软件。Rsyslog基于模块化设计,提供高性能,安全的日志处理系统。Rsyslog是多线程的,支持TCP,UDP,TLS,RELP.Rsyslog实际上syslog的一个增强版本。新版本syslog-ng也值得了解与应用。
         如果采用集中保存日志的方式,则需要安装部设统一的日志服务器,其它周边服务器按客户端方式(即将所产生日志全部远程存储到该日志服务器即可)。
     系统日志监控集中处理 - itoedr - itoedr的it学苑
            其中主要工作就是服务器上的日志的接收与处理(对应的分析功能软件),其次则是客户端可以将自身的
##日志设备/类型 说明
auth –pam产生的日志
authpriv –ssh,ftp等登录信息的验证信息
cron –时间任务相关
kern –内核
lpr –打印
mail –邮件
mark(syslog) –rsyslog服务内部的信息,时间标识
news –新闻组
user –用户程序产生的相关信息
uucp –unix to unix copy, unix主机之间相关的通讯
local 1~7 –自定义的日志设备

##日志级别

从上到下,级别从低到高,记录的信息越来越少 详细的可以查看手册: man 3 syslog

级别 说明 级别值
debug –有调式信息的,日志信息最多 7
info –一般信息的日志,最常用
notice –最具有重要性的普通条件的信息
warning –警告级别 4
err –错误级别,阻止某个功能或者模块不能正常工作的信息
crit –严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert –需要立刻修改的信息
emerg –内核崩溃等严重信息
none –什么都不记录
  • 连接符号

连接符号 说明
.xxx 表示大于等于xxx级别的信息
.=xxx 表示等于xxx级别的信息
.!xxx 表示在xxx之外的等级的信息
系统日志监控处理 - itoedr - itoedr的it学苑
rsyslog-mysql是rsyslog把日志传送到mysql的一个模块
#编辑配置文件

vim /etc/rsyslog.conf  取消下列三行的注释,并添加加载mysql模块信息。

$ModLoad immark  # provides --MARK-- message capability

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog  # kernel logging (formerly provided by rklogd)

#####下面这2行是要添加的内容#####    123456是root用户登录mysql的密码

#加载mysql模块

$ModLoad ommysql

#定义插入的数据内容_(insertpl) 模板名称

$template insertpl,"insert into SystemEvents (Message, Facility, FromHost, FromIP, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslog

facility%, '%HOSTNAME%', '%fromhost-ip%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",SQL

 


#如果日志内容包含下列括号中的内容, 则将日志写入到 /var/log/11.log 并退出,不继续后续操作

if $msg contains  '(root) CMD (/usr/lib64/sa/sa1 1 1)' then /var/log/11.log

&~

#将所有日志写入到数据库_以下*.*表示所有类型的日志,mysql模块-数据库服务器-数据库-数据库用户名-密码-模板

*.*    :ommysql:localhost,Syslog,root,123456;insertpl

 

#去掉下面两行的注释,接受客户端的日志, 开启514端口

$ModLoad imudp.so  # provides UDP syslog reception

$UDPServerRun 514 # start a UDP syslog server at standard port 514

......

注:rsyslog.conf文件中加上:

$ModLoad ommysql

local4.*     :ommysql:127.0.0.1,yourdb,yourname,yourpass;

表示将产生日志记录进数据库mysql。


################ rsyslog的客户端( Linux客户端)部署################

1. vi /etc/rsyslog.conf     #配置文件

2. 在最后面添加:

*.* @192.168.10.250        #表示本机所有(*.*)日志都通过udp(即@,tcp用@@表示)传送到192.168.10.250这台日志服务器之上。

3. 保存退出,重启syslog服务

4. service syslog restart 

5. 此时在服务器上就可以看到相关服务器的日志信息了     

##服务器端的参考配置案例
***********************************************

参考我的rsyslog.conf:

# UDP Syslog Server:
$ModLoad imudp.so  # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
# MySQL log
$ModLoad ommysql
$template MySQLInsert,"insert into SystemEvents( ReceivedAt,DeviceReportedTime,message,FromHost,syslogtag) values('%timegenerated:::
date-mysql%','%timereported:::date-mysql%','%msg%','%fromhost-ip%','%syslogtag%')", SQL

local4.*     :ommysql:127.0.0.1,syslogdatabase,syslogusername,syslogpass;MySQLInsert

注意我使用了%fromhost-ip%,而不是%HOSTNAME%


***********************************************


参考文章:http://www.linuxidc.com/Linux/2013-07/86956.htm
  评论这张
 
阅读(106)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017