# rsyslog统一日志收集系统
[TOC]
## 一 rsyslog相关基础
### A rsyslog 日志服务器的优势:
Rsyslog的全称是`rocket-fast system for log`,它提供了高性能,高安全功能和模块化设计。rsyslog能够接受从各种各样的来源,将其结果输出的到不同的目的地。 rsyslog可以提供超过每秒一百万条消息给目标文件。
**特点:**
* 多线程
* 可以通过许多协议进行传输UDP,TCP,SSL,TLS,RELP;
* 直接将日志写入到数据库;
* 支持加密协议:ssl,tls,relp
* 强大的过滤器,实现过滤日志信息中任何部分的内容
* 自定义输出格式;
### B rsyslog配置文件模块
rsyslog有完善的input-filter-output模块,但是由于现在有更强大的elk日志套件, rsyslog在我手中的用途只是用来统一收集某类日志(如sshd登录日志)到指定服务器,后续的再将该日志导入elk系统 因此这里不再详述rsyslog的这些模块,有兴趣的网上找相关文档
### C rsyslog配置文件规则
rsyslog.conf中日志规则的典型格式如下:
~~~
facitlity.priority action
#日志类型.日志级别 存储位置/动作
#日志类型和日志级别都可以用*(星号)表示所有
~~~
1. `facility`: 日志类型
| 日志类型 | 类型说明 |
| --- | --- |
| auth | pam 认证日志 |
| authpriv | ssh,ftp 等登录信息的验证信息,认证授权认证 |
| cron | 定时任务相关日志 |
| kern | 内核日志 |
| lpr | 打印及日志 |
| mail | 邮件日志 |
| mark/syslog | rsyslog 服务内部的信息日志 |
| news | 新闻组日志 |
| user | 用户程序产生的相关日志 |
| uucp | unix 主机之间相关的通讯日志 |
| local | 1~7 #自定义的日志设备 |
2. `priority`: 日志级别:
| 日志级别 | 级别说明 |
| --- | --- |
| debug | 调式信息的,日志信息最多 |
| info | 一般信息的日志,最常用 |
| notice | 最具有重要性的普通条件的信息 |
| warning | 警告级别 |
| error | 错误级别 |
| crit | 比较严重级别 |
| alert | 很严重警报级别 |
| emerg | 内核崩溃等严重信息 |
3. `action`:日志动作
~~~
1)记录到普通文件或设备文件
*.* /var/log/file.log #绝对路径
*.* /dev/pts/0 #设备文件
2)将日志通过管道送给其他命令处理
*.error |awk ....
3)将日志发送到特定的主机
*.emerg @192.168.10.1
4)”用户”,表示将日志发送到特定的用户
*.error root #发送给root用户
*.error * #发送所有登录到系统的用户
~~~
4. 连接符号
~~~
. #表示大于等于xxx级别的信息;
.= #表示等于xxx级别的信息;
.! #表示在xxx之外的等级的信息;
~~~
5. 格式定义案例 定义在/etc/rsyslog.conf配置文件中
~~~
# 表示将mail相关的,info级别及以上级别都记录到mail.log文件中
mail.info /var/log/mail.log
# 表示将auth相关的基本为info信息记录到远程主机
auth.=info @10.0.0.1 使用UDP协议发送到远端主机,默认514端口
auth.=info @@10.0.0.1 使用TCP协议发送到远端主机,默认10514端口
# 表示记录与user和error相反的
user.!error
# 表示记录所有日志信息的info级别及以上级别
*.info
# 所有日志及所有级别信息都记录下来
*.*
# 丢弃日志[~]
cron.* ~
~~~
> PS:多个日志来源可以使用,号隔开,如cron.info;mail.info。
## 二 搭建rsyslog统一收集sshd登录日志
### A 客户端配置
~~~
yum install -y rsyslog
# 清除配置文件中注释,最后一行添加服务端类型
cat >/etc/rsyslog.conf <<EOF
# 默认配置
$ModLoad imuxsock # provides support for local system logging
$ModLoad imjournal # provides access to the systemd journal
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.*
#增加配置
authpriv.* @172.17.19.29:514
EOF
~~~
### B 搭建服务端
~~~
yum install -y rsyslog
# 清除配置文件中注释,在中间加入接收端配置
cat >/etc/rsyslog.conf <<EOF
# 默认配置第一部分
$ModLoad imuxsock # provides support for local system logging
$ModLoad imjournal # provides access to the systemd journal
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#--------------新增配置-开始--------------
#开启udp接收日志
$ModLoad imudp
$UDPServerRun 514
$AllowedSender UDP, 172.17.0.0/16
#定义日志格式模板(方便后续logstash读取)
$template myformat,"%TIMESTAMP::10:date-rfc3339% %TIMESTAMP:8:15% %hostname% %fromhost-ip% %syslogtag% %msg%\n"
#定义日志存放路径及文件格式
$template sshRemote,"/data/fw_logs/ssh_%$YEAR%-%$MONTH%-%$DAY%.log"
#调用日志模板和文件格式,并过滤部分信息
:fromhost-ip, !isequal, "127.0.0.1" ?sshRemote;myformat
#定义生成的日志文件和文件夹(也是方便logstash读取)
$FileCreateMode 0644
$DirCreateMode 0755
$Umask 0022
#--------------新增配置-结束--------------
#默认配置第二部分
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.*
EOF
~~~
重启服务并验证
~~~
systemctl restart rsyslog
#重启服务后,客户机多次ssh登录验证服务端有没有产生日志
#也可以用logger命令模拟产生日志
logger "rsyslog test from 172.17.19.31" -p authpriv.info
~~~
## 三 rsyslog日志模板:
[参考网址:](https://segmentfault.com/a/1190000003509909)
日志模板中各变量对于的数据样式如下
```sh
msg: Hello, Logger,
rawmsg: <175>Mar 10 15:52:49 LogHeader[13845]: Hello, Logger,
HOSTNAME: vm-28-234-pro01-hp,
FROMHOST: vm-28-234-pro01-hp,
syslogtag: LogHeader[13845]:,
programname: LogHeader,
PRI: 175,
PRI-text: local5.debug,
IUT: 1,
syslogfacility: 21,
syslogfacility-text: local5,
syslogseverity: 7,
syslogseverity-text: debug,
timereported: Mar 10 15:52:49,
TIMESTAMP: Mar 10 15:52:49,
timegenerated: Mar 10 15:52:49,
PROTOCOL-VERSION: 0,
STRUCTURED-DATA: -,
APP-NAME: LogHeader,
PROCID: 13845,
MSGID: -
```
- shell编程
- 变量1-规范-环境变量-普通变量
- 变量2-位置-状态-特殊变量
- 变量3-变量子串
- 变量4-变量赋值三种方法
- 变量5-数组相关
- 计算1-数值计算命令和案例
- 计算2-expr命令举例
- 计算3-条件表达式和各种操作符
- 计算4-条件表达式和操作符案例
- 循环1-函数的概念与作用
- 循环2-if与case语法
- 循环3-while语法
- 循环4-for循环
- 其他1-判断传入的参数为0或整数的多种思路
- 其他2-while+read按行读取文件
- 其他3-给输出内容加颜色
- 其他4-shell脚本后台运行知识
- 其他5-6种产生随机数的方法
- 其他6-break,continue,exit,return区别
- if语法案例
- case语法案例
- 函数语法案例
- WEB服务软件
- nginx相关
- 01-简介与对比
- 02-日志说明
- 03-配置文件和虚拟主机
- 04-location模块和访问控制
- 05-status状态模块
- 06-rewrite重写模块
- 07-负载均衡和反向代理
- 08-反向代理监控虚拟IP地址
- nginx与https自签发证书
- php-nginx-mysql联动
- Nginx编译安装[1.12.2]
- 案例
- 不同客户端显示不同信息
- 上传和访问资源池分离
- 配置文件
- nginx转发解决跨域问题
- 反向代理典型配置
- php相关
- C6编译安装php.5.5.32
- C7编译php5
- C6/7yum安装PHP指定版本
- tomcxat相关
- 01-jkd与tomcat部署
- 02-目录-日志-配置文件介绍
- 03-tomcat配置文件详解
- 04-tomcat多实例和集群
- 05-tomcat监控和调优
- 06-Tomcat安全管理规范
- show-busy-java-threads脚本
- LVS与keepalived
- keepalived
- keepalived介绍和部署
- keepalived脑裂控制
- keepalived与nginx联动-监控
- keepalived与nginx联动-双主
- LVS负载均衡
- 01-LVS相关概念
- 02-LVS部署实践-ipvsadm
- 03-LVS+keepalived部署实践
- 04-LVS的一些问题和思路
- mysql数据库
- 配置和脚本
- 5.6基础my.cnf
- 5.7基础my.cnf
- 多种安装方式
- 详细用法和命令
- 高可用和读写分离
- 优化和压测
- docker与k8s
- docker容器技术
- 1-容器和docker基础知识
- 2-docker软件部署
- 3-docker基础操作命令
- 4-数据的持久化和共享互连
- 5-docker镜像构建
- 6-docker镜像仓库和标签tag
- 7-docker容器的网络通信
- 9-企业级私有仓库harbor
- docker单机编排技术
- 1-docker-compose快速入门
- 2-compose命令和yaml模板
- 3-docker-compose命令
- 4-compose/stack/swarm集群
- 5-命令补全和资源限制
- k8s容器编排工具
- mvn的dockerfile打包插件
- openstack与KVM
- kvm虚拟化
- 1-KVM基础与快速部署
- 2-KVM日常管理命令
- 3-磁盘格式-快照和克隆
- 4-桥接网络-热添加与热迁移
- openstack云平台
- 1-openstack基础知识
- 2-搭建环境准备
- 3-keystone认证服务部署
- 4-glance镜像服务部署
- 5-nova计算服务部署
- 6-neutron网络服务部署
- 7-horizon仪表盘服务部署
- 8-启动openstack实例
- 9-添加计算节点流程
- 10-迁移glance镜像服务
- 11-cinder块存储服务部署
- 12-cinder服务支持NFS存储
- 13-新增一个网络类型
- 14-云主机冷迁移前提设置
- 15-VXALN网络类型配置
- 未分类杂项
- 部署环境准备
- 监控
- https证书
- python3.6编译安装
- 编译安装curl[7.59.0]
- 修改Redhat7默认yum源为阿里云
- 升级glibc至2.17
- rabbitmq安装和启动
- rabbitmq多实例部署[命令方式]
- mysql5.6基础my.cnf
- centos6[upstart]/7[systemd]创建守护进程
- Java启动参数详解
- 权限控制方案
- app发包仓库
- 版本发布流程
- elk日志系统
- rsyslog日志统一收集系统
- ELK系统介绍及YUM源
- 快速安装部署ELK
- Filebeat模块讲解
- logstash的in/output模块
- logstash的filter模块
- Elasticsearch相关操作
- ES6.X集群及head插件
- elk收集nginx日志(json格式)
- kibana说明-汉化-安全
- ES安装IK分词器
- zabbix监控
- zabbix自动注册模板实现监控项自动注册
- hadoop大数据集群
- hadoop部署
- https证书
- certbot网站
- jenkins与CI/CD
- 01-Jenkins部署和初始化
- 02-Jenkins三种插件安装方式
- 03-Jenkins目录说明和备份
- 04-git与gitlab项目准备
- 05-构建自由风格项目和相关知识
- 06-构建html静态网页项目
- 07-gitlab自动触发项目构建
- 08-pipelinel流水线构建项目
- 09-用maven构建java项目
- iptables
- 01-知识概念
- 02-常规命令实战
- 03-企业应用模板
- 04-企业应用模板[1键脚本]
- 05-企业案例-共享上网和端口映射
- SSH与VPN
- 常用VPN
- VPN概念和常用软件
- VPN之PPTP部署[6.x][7.x]
- 使用docker部署softether vpn
- softEther-vpn静态路由表推送
- SSH服务
- SSH介绍和部署
- SSH批量分发脚本
- 开启sftp日志并限制sftp访问目录
- sftp账号权限分离-开发平台
- ssh配置文件最佳实践
- git-github-gitlab
- git安装部署
- git详细用法
- github使用说明
- gitlab部署和使用
- 缓存数据库
- zookeeper草稿
- mongodb数据库系列
- mongodb基本使用
- mongodb常用命令
- MongoDB配置文件详解
- mongodb用户认证管理
- mongodb备份与恢复
- mongodb复制集群
- mongodb分片集群
- docker部署mongodb
- memcached
- memcached基本概念
- memcached部署[6.x][7.x]
- memcached参数和命令
- memcached状态和监控
- 会话共享和集群-优化-持久化
- memcached客户端-web端
- PHP测试代码
- redis
- 1安装和使用
- 2持久化-事务-锁
- 3数据类型和发布订阅
- 4主从复制和高可用
- 5redis集群
- 6工具-安全-pythonl连接
- redis配置文件详解
- 磁盘管理和存储
- Glusterfs分布式存储
- GlusterFS 4.1 版本选择和部署
- Glusterfs常用命令整理
- GlusterFS 4.1 深入使用
- NFS文件存储
- NFS操作和部署
- NFS文件系统-挂载和优化
- sersync与inotify
- rsync同步服务
- rsyncd.conf
- rsync操作和部署文档
- rsync常见错误处理
- inotify+sersync同步服务
- inotify安装部署
- inotify最佳脚本
- sersync安装部署
- 时间服务ntp和chrony
- 时间服务器部署
- 修改utc时间为cst时间
- 批量操作与自动化
- cobbler与kickstart
- KS+COBBLER文件
- cobbler部署[7.x]
- kickstart部署[7.x]
- kickstar-KS文件和语法解析
- kickstart-PXE配置文件解析
- 自动化之ansible
- ansible部署和实践
- ansible剧本编写规范
- 配置文件示例
- 内网DNS服务
- 压力测试
- 压测工具-qpefr测试带宽和延时