LinuxService- 日志集中管理·rsyslog

最新推荐文章于 2023-04-26 15:22:51 发布
原创 最新推荐文章于 2023-04-26 15:22:51 发布 · 456 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#rsyslog #syslog

本文介绍如何使用rsyslog进行日志集中管理,包括配置服务器和客户端以实现通过UDP、TCP和RELP传输日志,以及如何测试日志传输的正确性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1  使用rsyslog进行日志集中管理

      采用C/S架构:客户端将其日志上传到服务器端,通过对服务器端日志的查询,来实现对其他客户端的日志进行集中管理。将所有其他计算机上的日志全部都记录在一个计算机上。

journal   -xn                           //这个不常用

tail   -f   /var/log/messages       //查看常规日志

      日志的传输方式有三种:UDP(tcp 514)、 TCP(tcp 514)、RELP(tcp 2514) 。UDP传输, 但信息有损耗;基于TCP明文的传输,只在特定情况下丢失信息,并被广泛使用;RELP传输,不会丢失信息,但只在rsyslogd 3.15.0及以上版本中可用。安全级别是UDP<TCP<RELP

2  配置rsyslog服务,以2台虚拟机为例

将client连接到server端,可以在server端查看到client客户端的日志信息。以TCP传输为例。

2.1 服务器端

第一步 编辑配置文件:vim   /etc/rsyslog.conf,启用传输方式

启用UDP传输方式:取消15、16行的注释

启用TCP传输方式:取消19、20行的注释

启用RELP传输方式得手动添加:$ModLoad    imrelp  

$InputRELPServerRun    2514

注:如果采用relp传输方式,在服务器和客户端都需安装 rsyslog-relp

第二步 开启传输端口监听 vim   /etc/sysconfig/rsyslog,添加:

SYSLOGD_OPTIONS="-r514   -c2"

注: -r  指定监听端口 ;  -c2  使用兼容模式(是否使用兼容模式只针对TCP、UDP,即使用TCP传输时,加上-c2参数意味着兼容UDP模式传输,以此类推;但是RELP用不到-c2参数,即RELP无兼容模式)

第三步 重启服务  systemctl   restart   rsyslog

2.2 客户端

第一步 指定日志传输方式 ,编辑配置文件  #vim   /etc/rsyslog.conf,在最后添加所用的传输方式的格式内容。1)、2)、3)是“或”的关系

1)*.*   @服务器ip地址:端口号           //采用UDP传输的格式

例:*.*   @192.168.1.1:514

2)*.*   @@服务器IP地址:端口号         //TCP传输

例:*.*   @@192.168.1.1:514

3)$ModLoad   omrelp

*.*   :omrelp:服务器IP地址:端口号      //RELP传输

例:$ModLoad   omrelp

    *.*   :omrelp:192.168.1.2:2514

第二步 重启服务  systemctl   restart   rsyslog

第三步 先用 tail  -f  /var/log/messages   预先查看本客户端的日志信息

1)在客户端生成一条日志,看服务器端是否接受到这个日志 

#logger  -t  kern  -p  err  "hello,wahaha"

//使用logger命令生成日志消息,消息级别为内核信息,类型为错误日志信息,内容为hello  wahaha。

2)tail   -f    /var/log/messages  再次看一下是否产生了错误日志

第四步 在服务器端查看:tail   -f   /var/log/messages

注:如果采用relp传输方式,在服务器端除了要修改/etc/rsyslog中的传输方式外,还要修改/etc/sysconfig/rsyslog中监听的端口号。

3 采用UDP、RELP传输方式

3.1  采用UDP传输

1)配置服务器端

第一步 编辑配置文件:vim  /etc/rsyslog.conf,启用UDP传输方式,取消15、16行的注释

第二步 开启传输端口监听 vim   /etc/sysconfig/rsyslog,添加:

SYSLOGD_OPTIONS="-r514   -c2"

第三步 重启服务  systemctl   restart   rsyslog

2)配置客户端

第一步 指定日志传输方式 ,编辑配置文件  #vim   /etc/rsyslog.conf,在最后添加

*.*    @192.168.1.1:514

第二步 重启服务  systemctl   restart   rsyslog

第三步 先用 tail  -f  /var/log/messages   预先查看本客户端的日志信息

1)在客户端生成一条日志,看服务器端是否接受到这个日志 

#logger  -t  kern  -p  err  "hello,wahaha"

2)tail   -f   /var/log/messages  再次看一下是否产生了错误日志

第四步 在服务器端查看:tail   -f   /var/log/messages

3.2 采用RELP传输方式

1)配置服务器端

第一步 安装软件      #yum   install   rsyslog-relp

第二步 编辑配置文件  #vim   /etc/rsyslog.conf  ,在最后添加两行

$ModLoad    imrelp

$InputRELPServerRun   2514

第三步 开启传输端口监听 vim   /etc/sysconfig/rsyslog,添加:

SYSLOGD_OPTIONS="-r2514"

第四步 重启服务  systemctl   restart   rsyslog

2)配置客户端及测试

第一步 安装软件      #yum   install   rsyslog-relp

第二步 指定日志传输方式 ,编辑配置文件  #vim  /etc/rsyslog.conf,在最后添加2行

$ModLoad   omrelp

    *.*   :omrelp:192.168.1.1:2514

第三步 重启服务  systemctl   restart   rsyslog

第四步 先用 tail   -f   /var/log/messages   预先查看本客户端的日志信息

1)在客户端生成一条日志,看服务器端是否接受到这个日志 

#logger  -t  kern  -p  err  "hello,wahaha"

2)tail   -f   /var/log/messages  再次看一下是否产生了错误日志

第五步 在服务器端查看:tail   -f   /var/log/messages

转载请注明出处,谢谢!

linux采集日志 ---- journalctl与rsyslog
ly_qiu的博客
04-30 2292
对比journalrsyslog journal 是将所有的日志都存放起来,用日志查看工具,来对我们的日志进行分析。 rsyslog 在采集的过程中,就将我们的日志分门别类的放到指定的不同类型中。 实验环境 要求:需要2台可以通信的主机,如果自己没法ping通,请参考虚拟机的网络配置先进行设置。 以我的电脑为例: xixi: 172.25.254.33 workstation: 172...
Linux环境下搭建Rsyslog日志服务器
橘子女侠
04-05 5172
1. Rsyslog日志服务简介 (1)Rsyslog简介 rsyslog( rocket-fast system for log),它提供了高性能,高安全功能和模块化设计。rsyslog能够接受从各种各样的来源,将其输入,输出的结果到不同的目的地。 (2)为什么要是有Rsyslog web服务器多的时候检查日志是一件痛苦的事情; 使用一台统一的日志服务器,将登录认证,系统日...
集中化Linux日志管理系统
07-31
NULL 博文链接:https://zhangxugg-163-com.iteye.com/blog/1054036
线上日志集中化可视化管理:ELK
weixin_34219944的博客
09-29 266
本文来自网易云社区作者:王贝为什么推荐ELK:当线上服务器出了问题,我们要做的最重要的事情是什么?当需要实时监控跟踪服务器的健康情况,我们又要拿什么去分析?大家一定会说,去看日志,去分析日志。是的,日志对于服务器开发人员来讲是最亲密的伙伴了,基本上每天都会去看各种类型的海量的日志去定位问题,去做统计分析等等。最常见的查看日志的情况,比如线上出了bug,我们ssh到线上服务器,cd到服务器的日志目录...
linux日志服务
转行笔记
08-07 910
linux日志
Linux日志管理指南
dirk2014的博客
12-14 1146
管理日志的一个最好做法是将你的日志集中或整合到一个地方,特别是在你有许多服务器或多层级架构时。我们将告诉你为什么这是一个好主意,然后给出如何更容易的做这件事的一些小技巧。 集中管理日志的好处 如果你有很多服务器,查看某个日志文件可能会很麻烦。现代的网站和服务经常包括许多服务器层级、分布式的负载均衡器,等等。找到正确的日志将花费很长时间,甚至要花更长时间在登录服务器的相关
linux重启rsyslog服务报错,CentOS 6.7搭建Rsyslog日志服务器
weixin_34816913的博客
05-03 1259
前言:随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。系统管理员遇到的常见问题如下:1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志;2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的;3、在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹;4、zabbix等监控系统无法代替日志管理,无...
Linux安全运维学习⑨ ---- 日志文件与服务、日志服务器备份实验
与君共勉
12-07 556
/var/log1.系统日志 messages系统运行过程中一些事件变化2.登录日志 secure谁?什么时间?登录过?输入的密码正确不正确?不正确,什么时间输入的3.不同程序日志比如阿帕奇vim /etc/rsyslog.conf #代表注释行黑的字体为有效行 debug(调试), info , notice , warning , warn (same as warning) , err, error (same as err) , crit
Linux-系统日志简介
兔子乖乖
12-19 2387
Linux-系统日志简介 1、日志的介绍 日志文件记录了时间,地点,人物,事件四大信息,故系统出现故障时,可以查询日志文件。 系统的日志文件默认都集中放置到/var/log/目录内,其中又以message记录的信息最多。 2、日志的重要性体现 日志文件的重要性主要体现在以下三方面: 解决系统方面的错误 解决网络服务的问题 过往事件记录 日志文件的权限通常是设置为root能够读取而已。由于日志文件可以记载系统很多的详细信息,所以一个有经验的主机管理员会随时随地查阅自己的日志文件,以掌握系统的最新动态。 注
linux日志管理
PpikachuP的博客
04-10 598
集中式的日志服务(关闭防火墙) 为什么需要集中式日志服务 如果你负责管理很多台LINUX服务器,你就需要登录每台服务器查看上面的日志,特别麻烦,如果通过集中式的日志服务,就可以将日志收集起来,统一管理。 过程:客户端将日志传送给服务端 #systemctl status rsyslog 服务端: #vim /etc/rsyslog.conf 去掉含有514的4条注释 #systemctl r...
Linux rsyslog
m0_51514815的博客
04-26 3307
Linux rsyslog
linux集中管理日志
weixin_34054931的博客
01-29 140
Logs are a critical part of any system, they give you insight into what a system is doing as well what happened. Virtually every process running on a system generates logs in some form or ...
rsyslog实现日志集中管理
qq_42499737的博客
07-29 372
文章目录 日志管理的意义 常用的日志文件: last 查看登录日志内容 清空日志文件 2. /var/log/lastlog 查看最后登录信息 3. /var/log/btmp 用户登录系统的错误信息 问题: 怎么查看一个文件的大小 日志的记录方式: 日志的种类: 日志级别: 重–轻 日志服务: 配置文件: 问题: mail , authpiv ,cron放在哪里 日志输入的规则: 实战案例: 1) 编辑rsyslog的配置文件 2) 定义ssh服务的日志级别 3) 启动rsyslog和sshd服务 4)查
Linux Rsyslog日志集中管理
sinat_35855737的博客
05-23 191
原文链接
日志集中管理
weixin_34161064的博客
08-09 190
实验03:日志集中管理【实验目标】-----------A--------------B----------------A:192.168.10.10 日志服务器B:192.168.10.20 日志客户端配置需求A作为服务端,集中保存客户机的日志B作为测试客户端,将cron日志发送到服务端【实验环境】 开启2台Linux服务器 设置网络为同一...
linux系统日志及其管理
yd1018701930的博客
10-17 3228
Linux——unit10、系统日志   ####1.系统日志默认分类####   /var/log/messages ##系统服务及日志,包括服务的信息,报错等等 /var/log/secure ##系统认证信息日志 /var/log/maillog ##系统邮件服务信息 /var/log/cron ##系统定时任务信息 /var/log/boot.log ##系统启动信
集中式日志管理(推送日志
Engraved的博客
08-18 1121
日志接受端 [root@gaojingbo ~]# vim /etc/rsyslog.conf 开启UDP 或TCP 没有#注释表示已开启 # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 开启TCP # Provides TCP syslog reception $ModLoad i...
Linux 查看xx.service日志
pop645649968的博客
03-25 712
【代码】Linux 查看xx.service日志
linux 服务器日志
最新发布
03-21
<think>好的,用户需要了解如何查看和管理Linux服务器上的系统日志文件。首先,我应该根据提供的引用资料整理相关信息,确保回答准确。引用[1]提到常用的命令如tail、cat、grep等,这些是基础工具。需要详细说明每个命令的用法和适用场景,比如实时查看日志用tail -f,搜索特定内容用grep。 接着,引用[2]指出系统默认使用syslog,现在可能升级到了rsyslogjournald。需要提到配置文件的位置,比如/etc/rsyslog.conf,以及如何自定义日志规则。同时,systemd的journalctl命令也很重要,应该包括常用的journalctl选项,如-u指定服务,-f跟踪日志等。 然后,引用[3]虽然来自Windows的事件查看器,但可以忽略,因为用户关注的是Linux。引用[4]提到tac命令,反向显示文件内容,可能在查看最新日志时有用,需要简要说明。 接下来,管理日志部分需要涉及日志轮转工具logrotate,说明其配置文件和自动清理机制。另外,手动清理旧日志的方法,比如使用find命令删除超过一定天数的文件,但要注意谨慎操作。 安全性和权限方面,需要提醒用户修改日志文件权限,使用sudo访问受限制的日志,并定期备份重要日志。可能还需要提到集中式日志管理工具,如ELK栈,但引用资料中没有相关引用,所以可能不展开。 最后,生成相关问题时要覆盖常用命令、实时监控、配置文件位置、自动清理、权限管理和工具比较等方面,确保问题有针对性,帮助用户进一步学习。 需要确保回答结构清晰,分点列出查看和管理的方法,每个部分都有对应的命令示例和解释,并正确添加引用标记。同时避免使用Markdown格式,保持自然的中文表达,符合用户的要求。</think>### 如何查看和管理 Linux 服务器上的系统日志文件 #### 一、查看系统日志的方法 1. **基础命令工具** - **`tail`**: 实时查看日志末尾内容,例如 `tail -f /var/log/syslog` 可动态跟踪最新日志更新[^1]。 - **`grep`**: 过滤关键词,如 `grep "error" /var/log/syslog` 可快速定位错误信息。 - **`less`/`more`**: 分页查看长日志文件,支持上下翻页和搜索功能。 - **`tac`**: 反向显示文件内容(从末尾到开头),适合查看最新日志条目[^4]。 2. **系统日志服务** - **`rsyslog`**: 默认日志守护进程,配置文件位于 `/etc/rsyslog.conf`,定义日志存储路径和规则[^2]。 - **`journalctl`**: 配合 `systemd` 的日志管理工具,支持按服务、时间筛选,例如: ```bash journalctl -u nginx.service -f # 实时查看Nginx服务日志 ``` - **专用日志文件**: 如 `/var/log/auth.log`(认证日志)、`/var/log/kern.log`(内核日志)等。 #### 二、日志管理实践 1. **日志轮转与清理** - **`logrotate`**: 自动压缩和删除旧日志,配置文件位于 `/etc/logrotate.conf`,可自定义周期和保留数量。 - **手动清理**: 使用 `find /var/log -name "*.log" -mtime +30 -exec rm {} \;` 删除30天前的日志(需谨慎操作)。 2. **安全与权限** - 通过 `chmod` 和 `chown` 限制日志文件访问权限,例如仅允许 `root` 或特定用户组读取敏感日志- 使用 `sudo` 提权查看受保护日志,如 `sudo journalctl --since "2023-10-01"`。 3. **集中化日志管理(进阶)** - 部署 `ELK` 栈(Elasticsearch、Logstash、Kibana)或 `Graylog`,实现日志聚合、分析和可视化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鬼刺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值