使用 rsyslog 解析 ssh 日志为 json 格式

已于 2024-07-03 11:28:50 修改
阅读量529 收藏 4
点赞数 4
文章标签: linux 运维 云计算
于 2024-07-01 16:16:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gumc123/article/details/140103843
版权

在日常运维工作中,通常需要监控各系统的 ssh 登录情况,为便于解析相关 ssh 日志,需要将 ssh 原始日志转换为 json 格式

下面我将使用 rsyslog(一个开源的系统日志服务) 将 ssh 日志解析为 json 格式,并保存到文件 /var/log/sshd_json.log

环境介绍:

1》Rocky Linux release 8.9 (kernel 4.18.0)

2》rsyslogd 8.2102.0 , openssh-server-8.0p1(sshd 服务)

具体操作流程如下:

部署并配置 rsyslog 服务

1、安装系统日志管理程序

sudo dnf install rsyslog

2、自定义 json 模板,将相关日志解析为 json 格式

# cat /etc/rsyslog.d/sshd.conf
template(name="JsonFormat" type="list") {
   
    constant(value="{")
    constant(value="\"timestamp\":\"")      property(name="timereported" dateFormat="rfc3339")
    constant(value="\",\"hostname\":\"")    property(name="hostname")
    constant(value="\",\"app-name\":\"")    property(name=
最低0.47元/天 解锁文章
Linux 系统调试】syslog:Linux 系统日志工具详解
电视里爬出的程序员 📺💻 领域王牌: ▶ 数字电视标准解码专家 ▶ 智能监控算法驯兽师 ▶ Linux嵌入式炼金术士 ▶ 人脸识别整活实践家
05-12 405
Linux 和类 Unix 操作系统中,syslog是一个用于集中记录、管理和传输系统日志信息的标准协议和工具集。它不仅负责内核之外的大部分应用程序日志收集工作,还支持将日志发送到本地文件、远程服务器、数据库甚至通过电子邮件通知管理员。掌握syslog的工作机制和配置方法,对于系统运维、安全审计、故障排查具有重要意义。是一种工业标准协议(RFC 5424),定义了如何在网络设备之间传递日志信息。在 Linux 系统中,通常指的是运行在本地的syslog 守护进程(如rsyslogd或。
配置rsyslog到logstash_rsyslog通过自定义json格式发送日志信息给logstash
weixin_39552204的博客
12-20 1304
需求:通过自定义rsyslog的输出格式,通过json编码方式将日志信息发送给logstash进行处理。Rsyslog配置:1、将centos6.5的rsyslog升级到最新版[root@centos-yum ~]# vi/etc/yum.repo.d/rsyslog.repo[rsyslog_v8]name=AdisconCentOS-$releasever-localpackagesfor$b...
rsyslog发送json格式数据
王教主的博客
01-11 930
rsyslog 发送json格式syslog
rsyslog-mmjsonparse-8.1911.0-7.el8_4.2.x86_64.rpm
12-19
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
rsyslog-mmjsonparse-8.24.0-57.el7_9.1.x86_64.rpm
12-16
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
rsyslog-mmjsonparse-8.1911.0-7.el8.x86_64.rpm
12-19
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
Linux日志rsyslog、logrotate、journalctl、logger)
weixin_45880055的博客
02-07 2585
linux主机在后台有相当多的daemons同时在工作,这些工作中的进程总是会显示一些信息,这些重要信息最终会被记录到日志文件中。日志文件可以记录系统在什么时间、哪个主机、哪个服务、出现了什么信息等内容,这些信息也包括用户识别数据。系统故障排除须知等信息,善于利用这些日志信息,当系统出现出现错误时,可以从日志信息定位问题找到解决方案。 日志文件的重要性:解决系统方面的错误、解决网络服务的问题、过往事件的记事本、追溯审计功能。 Linux常见的日志文件: /var/log/boot.log 开机启动的时候系
Linux日志管理:syslog和rsyslog的详细配置与分析
[Linux日志管理:syslog和rsyslog的详细配置与分析](https://www.dnsstuff.com/wp-content/uploads/2019/08/how-to-monitor-log-data-1024x536.png) # 1. Linux日志系统概述 Linux日志系统是IT管理员和系统分析师在...
linux日志分析步骤,Linux系统日志分析的基本教程
weixin_36328790的博客
05-01 1620
首先,我们将描述有关 Linux 日志是什么,到哪儿去找它们,以及它们是如何创建的基础知识Linux 系统日志许多有价值的日志文件都是由 Linux 自动地为你创建的。你可以在 /var/log 目录中找到它们。下面是在一个典型的 Ubuntu 系统中这个目录的样子:一些最为重要的 Linux 系统日志包括:/var/log/syslog 或 /var/log/messages 存储所有的全局系统...
linux 日志自定义模板,haproxy json 自定义格式日志 并用rsyslog 收集
weixin_35595485的博客
05-06 355
haproxy的配置日志投送:globallog127.0.0.1 local1 info默认端口是udp514默认日志:defaultslog globallog-format \"local_time\":\"%t\",\"log_type\":\"tcp_log\",\"frontend_name\":\"%f\",\"hostname\":\"%H\",\"clientip\":\...
Linux日志系统-07:案例3-rsyslog+logrotate实现SSH日志滚动
魏波
05-09 727
一、需求 rsyslog+logrotate实现日志滚动 1、将sshd的日志文件记录在/var/log/ssh/sshd.log 2、仅仅记录info及其以上级别的日志 3、每天滚动一次 4、滚动文件的后缀名为当前日期 5、滚动日志要压缩 6、保留30个日志副本 二、实现步骤 1、确定ssh使用日志设施 /etc/ssh/sshd_config 2、确定AUTHPRIV日志设施的日志文件位置 # vim /etc/rsyslog..
logstash介绍 - 3.处理syslog json 格式的消息体
linyonghui1213的专栏
02-09 2538
背景     logstash对不同主机发过来的json格式的syslog进行区分设置,并且需要对该json消息的内容可能并不是我们需要的的,需要对内容进行转化。syslog的消息体    接收的syslog的消息体如下:2018-01-24T05:27:49.303Z 192.168.6.66 <177>Jan 14 13:27:49 localhost4.localdomain4 ...
linux log 调试信息 sshd,Linux日志服务rsyslog(定向采集+远程同步)
weixin_42509908的博客
05-09 491
rsyslog日志管理:/var/log/messages 服务信息日志/var/log/secure 系统登陆日志/var/log/cron 定时任务日志/var/log/maillog 邮件日志/var/log/boot.log 系统启动日志日志类型:auth ##pam产生的日志authpriv ##ssh,ftp等登陆信息的验证信息cron ...
修改特定软件日志存储位置
Mr_Black0_0的博客
01-08 442
【代码】修改特定软件日志存储位置。
Linux系统日志管理-- rsyslog
最新发布
weixin_44705391的博客
03-06 6132
rsyslog
Linux日志服务器 详解(Rsyslog
weixin_44983653的博客
09-23 2932
Linux日志服务器 详解(Rsyslog日志服务器-概念1、相关概念2、rsyslog 介绍3、Rsyslog 特性4、Rsyslog 重要术语5、 Rsyslog 程序环境6、Rsyslog 配置文件格式rsyslog.conf)7、Rsyslog 相关模块8、其它日志文件日志服务器-示例1、日志服务器设置2、日志客户端设置3、查看日志效果3.1 日志客户端进行相关操作,并查看本地日志...
在CentOS 7.6中将rsyslog 7离线升级到 rsyslog 8(支持IPv6)
weixin_43315470的博客
07-25 699
原文链接https//blog.youkuaiyun.com/i_chips/article/details/100924743。rsyslog8兼容rsyslog7的配置,但需要注意的是,配置文件中的IPv6地址必须用中括号包裹起来。②从2017年的rsyslog8.31.0(旧的版本命名规则)开始,才支持IPv6;③我们选择当前的最新发布版本rsyslog8.1907.0(新的版本命名规则)。...
手工配置rsyslog配置文件详解
weixin_34014277的博客
01-01 1375
手工配置 如果您无法通过脚本生成配置文件,这份指导将帮助您通过简单的复制、粘贴手动完成配置。 假定您已拥有root或sudo权限,是在通用的Linux平台使用5.8.0或更高版本的rsyslogrsyslog能接收本地系统日志,并通过5140端口与外界连接。 1 配置系统环境 粘贴以下脚本并运行,并且保证 /var/spool/rsyslog 目录已存在,如果是Ubuntu系统,还需要对目录进...
rsyslog 日志格式和输出
zhaoyangjian724的专栏
08-11 7529
日志格式: $EscapeControlCharactersOnReceive off #关闭rsyslog默认转译ASCII<32的所有怪异字符,包括换行符等 $template nginx-zjzc01,"/rsyslog/data/nginx/zjzc/nginx_access01_log.%$year%-%$month%-%$day%" #定义TC:日志存放路径 $
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值