创建rsyslog服务器接收nginx日志

原创 已于 2024-10-12 12:08:31 修改 · 762 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #docker #golang #linux #运维 #服务器

于 2024-10-11 14:55:13 首次发布

参考:Docker 日志整合 syslog - 简书 (jianshu.com)

创建rsyslog容器

配置文件 rsyslog.conf 

# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html
#
# Default logging rules can be found in /etc/rsyslog.d/50-default.conf

#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
#module(load="immark")  # provides --MARK-- message capability

# provides UDP syslog reception
#若启用UDP进行传输,则取消下面两行的注释
#module(load="imudp")
#input(type="imudp" port="514")

# provides TCP syslog reception
#若启用TCP进行传输,则取消下面两行的注释
#module(load="imtcp")
#input(type="imtcp" port="514")

# provides kernel logging support and enable non-kernel klog messages
module(load="imklog" permitnonkernelfacility="on")

###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Filter duplicated messages
$RepeatedMsgReduction on

#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf

Dockerfile

FROM ubuntu:20.04
 
# 设置环境变量
ENV DEBIAN_FRONTEND=noninteractive
 
# 更新包列表并安装 rsyslog
RUN apt-get update && \
    apt-get install -y rsyslog && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/*
# 启动 rsyslog 服务
CMD ["rsyslogd", "-n"]

docker-compose.yml

version: '3.8'

services:
  rsyslog:
    build: .
    container_name: my-rsyslog-container
    ports:
      - "514:514/udp"
      - "514:514/tcp"  #  根据配置文件开放的端口和协议
    volumes:
      - ./path/to/your/log-dir:/var/log #挂载接收到的数据
      - ./rsyslog.conf:/etc/rsyslog.conf  # 挂载宿主机的 rsyslog.conf 根据配置位置修改
    restart: unless-stopped

docker-compose启动

sudo docker-compose up --build -d

测试rsyslog服务器启动


#打开终端并运行以下命令:
sudo docker inspect my-rsyslog-container|grep "IP" #查看容器IP
#发送 UDP 日志 这里IP修改成容器IP
logger -n 172.17.0.6 -P 514 "This is a test log message over UDP"
#发送 TCP 日志
logger -n 172.17.0.6 -P 514 -T "This is a test log message over TCP"
#进入容器并查看日志文件来验证是否成功接收到日志。
sudo docker exec -it my-rsyslog-container sh
 
#cat /var/log/syslog
#检查 /var/log/syslog 文件中是否包含您发送的日志消息。如果一切正常,您应该能看到类似于以下内容的输出:
This is a test log message over UDP

日志转发到rsyslog服务器

参考:Docker 日志整合 syslog - 简书 (jianshu.com)

方法一:利用Docker容器日志连接

下面启动容器,指定使用 syslog:

# 先删除之前的容器
$ docker stop nginx
$ docker rm nginx

# 启动
$ docker run \
    -d \
    -p 80:80 \
    --name nginx \
    --log-driver syslog \
    --log-opt syslog-address=tcp://localhost:514 \
    nginx


#进入容器并查看日志文件来验证是否成功接收到日志。
sudo docker exec -it my-rsyslog-container sh

$cat /var/log/all.log 或
$ tail -f /var/log/syslog

如果系统中启动了多个容器,每个容器的日志都输出到 syslog,就比较混乱了,这时我们可以在日志中指定容器tag,从而方便识别出相应的日志。

$ docker run \
    -d \
    -p 80:80 \
    --name nginx \
    --log-driver syslog \
    --log-opt syslog-address=tcp://localhost:514 \
    --log-opt tag="nginx" \
    nginx 

tag还可以更精确一点,因为docker提供了丰富的模板标签:

{{.ID}}:容器ID的前12个字符
{{.FullID}}:容器ID的完整名称
{{.Name}}:容器名称
{{.ImageID}}:容器镜像ID的前12个字符
{{.ImageFullID}}:容器镜像ID的完整名称
{{.ImageName}}:容器镜像名称
{{.DaemonName}}:Docker守护进程名称(名为docker)
示例:


$ docker run \
    -d \
    -p 80:80 \
    --name nginx \
    --log-driver syslog \
    --log-opt syslog-address=tcp://localhost:514 \
    --log-opt tag="{{.ImageName}}/{{.Name}}/{{.ID}}" \
    nginx

方法二:修改Nginx配置文件实现转发

添加配置内容到 nginx.conf

 error_log syslog:server=localhost:514,facility=local7,tag=nginx_error,severity=error;
access_log syslog:server=localhost:514,facility=local7,tag=nginx_access,severity=info;

nginx.conf

# cat /etc/nginx/nginx.conf
#添加 error_log syslog:server=localhost:514,facility=local7,tag=nginx_error,severity=error;
#     access_log syslog:server=localhost:514,facility=local7,tag=nginx_access,severity=info;

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log notice;
error_log syslog:server=localhost:514,facility=local7,tag=nginx_error,severity=error;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;
access_log syslog:server=localhost:514,facility=local7,tag=nginx_access,severity=info;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}

结果如图

方法三:golang程序监听文件实现转发

1.首先在本地尝试发送数据给rsyslog容器

main.go

package main

import (
    "fmt"
    "log"
    "log/syslog"
)

func main() {
    // 连接到本地的 syslog 服务器,使用 TCP 协议
    sysLog, err := syslog.Dial("tcp", "localhost:514", syslog.LOG_INFO, "myApp")
    if err != nil {
        log.Fatal(err)
    }
    defer sysLog.Close()

    // 发送一条紧急级别的日志消息
    sysLog.Emerg("An emergency message via TCP")

    // 发送一条信息级别的日志消息
    sysLog.Info("This is an informational message via TCP")

    msg := fmt.Sprintf("A formatted message with number %d", 42)
    sysLog.Info(msg)
}

2.读取本地文件到rsyslog容器

package main

import (
    "bufio"
    "log"
    "log/syslog"
    "os"
)

func main() {
    // 连接到本地的 syslog 服务器,使用 TCP 协议
    sysLog, err := syslog.Dial("tcp", "localhost:514", syslog.LOG_INFO, "nginx")
    if err != nil {
        log.Fatal(err)
    }
    defer sysLog.Close()

    // 打开本地日志文件
    logFile, err := os.Open("./access.log")
    if err != nil {
        log.Fatal(err)
    }
    defer logFile.Close()

    // 创建一个新的 bufio 读取器来读取日志文件
    reader := bufio.NewReader(logFile)

    // 逐行读取日志文件并发送到 rsyslog 服务器
    for {
        line, err := reader.ReadString('\n')
        if err != nil {
            // 如果读取到文件末尾或发生错误,则退出循环
            log.Printf("读取到文件末尾或读取日志时出错: %v", err)
            break
        }

        // 发送日志行到 rsyslog 服务器
        if err := sysLog.Info(line); err != nil {
            log.Printf("发送日志时出错: %v", err)
            break
        }
    }
}

3.golang程序监听文件实现转发

main.go

package main

import (
    "bufio"
    "errors"
    "io"
    "log"
    "log/syslog"
    "os"
    "time"
)

func main() {
    // 这里连接到本地的syslog服务器,实际根据配置文件开放的协议端口修改,localhost改成rsyslog服务器地址,syslog.LOG_INFO改成实际对应的日志级别, 修改tag成实际日志来源名称
    sysLog, err := syslog.Dial("tcp", "localhost:514", syslog.LOG_INFO, "nginx_test")
  #转发前"GET /group1/M00 HTTP/1.11estretestgtsttttt1" 400 173 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0"
  #syslog接收后" Oct 11 18:56:19 VM-4-7-ubuntu nginx_test[986243]: 11.42.240.165 - - [14/May/2024:23:13:27 +0800] "GET /group1/M00 HTTP/1.11estretestgtsttttt1" 400 173 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125."0""
    if err != nil {
        log.Fatalf("无法连接到 syslog 服务器: %v", err)
    }
    defer sysLog.Close()

    // 打开本地日志文件 视情况填写成需要的日志地址
    logFile, err := os.Open("./access.log")
    if err != nil {
        log.Fatalf("无法打开日志文件: %v", err)
    }
    defer logFile.Close()

    reader := bufio.NewReader(logFile)

    for {
        // 读取日志文件的一行
        line, err := reader.ReadString('\n')

        // 处理读取错误
        if err != nil {
            if errors.Is(err, io.EOF) {
                log.Println("已到达文件末尾 (EOF)")
            } else {
                log.Printf("读取日志时出错: %v", err)
            }
            time.Sleep(5 * time.Second)
            continue
        }

        // 发送日志行到 rsyslog 服务器
        if err := sendLog(sysLog, line); err != nil {
            log.Printf("发送日志时出错: %v", err)
            sysLog, err = reconnectSyslog()
            if err != nil {
                log.Fatalf("重新连接到 syslog 服务器失败: %v", err)
            }
        }
    }
}

// 发送日志到 syslog
func sendLog(sysLog *syslog.Writer, line string) error {
    return sysLog.Info(line)
}

// 重新连接到 syslog 服务器
func reconnectSyslog() (*syslog.Writer, error) {
    return syslog.Dial("tcp", "localhost:514", syslog.LOG_INFO, "nginx_test")
}

#运行main .go
go run main.go
#进入容器并查看日志文件来验证是否成功接收到日志。
sudo docker exec -it my-rsyslog-container sh
 
#cat /var/log/syslog

通过filebeat、logstash、rsyslog采集nginx日志的几种方式
学而思(xiejava的blog)
03-09 1537
由于nginx功能强大,性能突出,越来越多的web应用采用nginx作为http和反向代理的web服务器。而nginx的访问日志不管是做用户行为分析还是安全分析都是非常重要的数据源之一。如何有效便捷的采集nginx日志进行有效的分析成为大家关注的问题。本文通过几个实例来介绍如何通过filebeat、logstash、rsyslog采集nginx的访问日志和错误日志。 大家都知道ELK技术栈是采集...
Nginx配置日志rsyslog
qq_36124713的博客
07-21 2504
nginx配置日志输出到rsyslog;使用docker-compose安装tengine服务;rsyslog的配置使用;
ELK日志系统之使用Rsyslog快速方便的收集Nginx日志
weixin_34206899的博客
08-29 310
常规的日志收集方案中Client端都需要额外安装一个Agent来收集日志,例如logstash、filebeat等,额外的程序也就意味着环境的复杂,资源的占用,有没有一种方式是不需要额外安装程序就能实现日志收集呢?Rsyslog就是你要找的答案! Rsyslog Rsyslog是高速的日志收集处理服务,它具有高性能、安全可靠和模块化设计的特点,能够接收来自各种来源的日志输入(例如:file,t...
rsyslog收集nginx日志配置
weixin_33915554的博客
02-14 321
rsyslog日志收集配置rsyslog服务器收集各服务器日志,并汇总,再由logstash处理请查看上一篇文章http://bbotte.blog.51cto.com/6205307/1613571客户端/发送端 web服务器#yuminstallrsyslog-y #vim/etc/rsyslog.conf *.*@192.168.10.1:514 ...
Rsyslog实现Nginx日志统一收集
weixin_33937499的博客
10-30 508
一、rsyslog 介绍ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地,据官网介绍,现在可以处理100万条信息。二、Rsyslog应用Rsyslog服务端配置下面有一些参数没有做中文解释,是因为我也不是太了解,没办法做出解释,测试不出具体效果需要自己去看看文档...
nginx配置日志输出到rsyslog.docx
07-21
2. **添加Nginx日志接收配置**: ```conf # 接收Nginx的访问日志 local0.* /var/log/nginx/access.log # 接收Nginx的错误日志 *.=error;*.=crit;*.=alert;*.=emerg;local0.* /var/log/nginx/error.log ``` 3. ...
Nginx日志发送到Rsyslog,并存储到MySQL
hzzzzzzx的博客
04-28 1114
背景 官网试运行一段时间了,客户说要在后台补一个日志访问量统计的功能,可视化显示,然后分析浏览量和访问量。 技术实现 使用Nginx配置指定格式的日志,发送到syslog服务器 syslog服务器接收日志,存储到MySQL数据库 后台定时任务从MySQL库中采集数据并解析,每五分钟跑一次 后台接口查询解析后的数据,分析浏览量和访问量 日志传输 遇到的问题主要还是在日志传输上,其他地方没有什么难点,还有一点就是需要考虑采集的数据过多时如果处理 ...
基于Centos7搭建rsyslog服务器
m0_64940629的博客
07-20 1103
(2)在日志服务器端启动tcp与udp服务(192.168.134.155)==该服务器命名为test2,同样重启。(1)修改rsyslog的配置文件并重启。5、基础测试(登入数据库,执行如下命令)1、安装数据库及插件,并配置数据库。二、配置基于mysql存储日志信息。1、安装loganalyzer软件。一、配置rsyslog接收日志。1、准备新的Centos7环境。4、修改rsyslog配置文件。3、配置简易的客户端与服务端。3、退出数据库,修改配置文件。2、指定用户,赋予权限。2、部署lnmp环境。
CentOS8搭建Rsyslog日志服务器并集成Loganalyzer
资源摘要信息:"CentOS 8 搭建日志服务器 rsyslog + LogAnalyzer 是一种高效、集中化的日志管理方案,适用于企业级网络环境中对各类设备(如路由器、交换机、防火墙、服务器等)产生的系统日志进行统一收集、存储和...
syslog实现远程nginx日志服务
04-17
nginx针对syslog的补丁
通过Rsyslog实现对Nginx日志发送至日志服务器
weixin_33858249的博客
12-02 2124
配置文件/etc/rsyslog.conflocal 1~7 –自定义的日志设备:日志级别:———————————————————————-debug 0 –有调式信息的,日志信息最多info 1 –一般信息的日志,最常用notice 2 –最具有重要性的普通条件的信息warning 3 –警告级别err 4 –错误...
linuxrsyslog日志服务(配置,测试、日志转储)
最新发布
qq_43331089的博客
09-09 1万+
Rsyslog的全称是,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发接收日 志消息。
rsyslog转发nginx日志rsyslog发送到logstashh)
weixin_34242509的博客
03-31 772
收集系统其它服务日志,在客户端上操作,以nginx服务的日志为例先修改配置文件 /etc/rsyslog.conf,内容如下:#grep -v "^$" /etc/rsyslog.conf | grep -v "^#"$ModLoadimuxsock#providessupportforlocalsystemlogging(e.g.vialogger...
Nginx使用Rsyslog记录日志
weixin_33937778的博客
01-04 475
直接使用Nginx记录日志,在多台服务器的情况下日志会过于分散不容易管理,不过nginx在1.7.1版本以后,可以使用Rsyslog来记录日志Rsyslog可以作为集中日志服务器。使用Ryslog了解两个关键术语。 facility:设施,收束日志数据流为有限几个;我们使用的一般是local0-loca...
nginx日志通过rsyslog保存
weixin_33953249的博客
01-11 312
2019独角兽企业重金招聘Python工程师标准>>> ...
rsyslog 收集系统日志
weixin_30823001的博客
09-10 336
<pre name="code" class="html">nginx 服务器配置: jrhwpt01:/root# cat /etc/rsyslog.conf $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # ...
Rsyslog 配置接收Syslog - 轻量化日志存储
网工格物的博客
02-27 1618
基于Rocky LInux 8 搭建,也适用于其他RHEL8-9衍生发行版。注意关闭Selinux和配置防火墙。日志文件存放主目录为 /var/syslog/下,会自动创建日志主机IP的文件夹,并将日志存放在每天创建的log文件里面。路径格式 /var/log/主机IP地址/主机IP地址_年-月-日.log如:192.168.0.1_2038-02-27.log以文本存储方式便于搜索,但可以按照每台每天的日志全部下载,syslog相对于ELK也更、简单化、占用资源低。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值