Linux Rsyslog配置(日志管理服务)(RELP传输方式、TCP传输方式、UDP传输方式)

最新推荐文章于 2025-03-19 16:02:19 发布
最新推荐文章于 2025-03-19 16:02:19 发布
阅读量4.1k 收藏 7
点赞数 5
分类专栏: Linux基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37077262/article/details/104045659
版权
本文介绍了Linux Rsyslog作为日志管理服务的优势,包括其多线程、多种协议支持和数据库集成。讨论了UDP、TCP和RELP三种传输方式的优缺点,并提供了配置示例,推荐线上服务器使用RELP协议以确保日志传输的可靠性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Rsyslog

可以简单的理解为syslog的超集 在老版本的Linux中 Red Hat Enterprise Linux3/4/5默认是使用的syslog作为系统的日志工具 从RHEL 6开始系统默认使用Rsyslog

 

ryslog是一个快速处理收集系统日志的程序 支持C/S架构 可通过UDP/TCP协议提供日志集中管理服务

 

为什么要使用Rsyslog

WEB服务器多的时候检查日志是一件痛苦的事情

准备弄一台统一的日志服务 将登录认证 系统日志等全部发送到这台日志服务器上

可以做监控分析 也能即时获取最新日志

rsyslog和syslog-ng都可以 系统一般默认安装前者

 

Rsyslog的特性

多线程的服务 并发性能好

可以使用udp tcp ssl tls relp 等协议完成信息收集

将日志可以存储在mysql pgsql oracle 等数据库管理系统中

强大的自定义过滤器 实现过滤日志信息中任何部分内容

自定义输出格式

 

Rsyslog日志集中管理

C/S架构 客户端将其日志上传到服务器端 通过对服务器端日志的查询 来实现对其他 客户端的日志进行集中管理

在服务器端配置

编辑配置文件vim /etc/rsyslog.conf

日志传输方式:UDP、TCP、RELP

UDP传输 但信息有损耗

基于TCP明文的传输 只在特定情况下丢失信息 并被广泛使用

RELP传输 不会丢失信息 但只在rsyslogd 3.15.0及以上版本中可用

 

UDP 传输协议

基于传统UDP协议进行远程日志传输 也是传统syslog使用的传输协议

  可靠性比较低 但性能损耗最少

在网络情况比较差 或者接收服务器压力比较高情况下 可能存在丢日志情况

 

TCP传输协议

基于传统TCP协议明文传输 需要回传进行确认 可靠性比较高

但在接收服务器宕机或者两者之间网络出问题的情况下 会出现丢日志情况

 

RELP传输协议

RELP(Reliable Event Logging Protocol)是基于TCP封装的可靠日志消息传输协议是为了解决TCP与UDP协议的缺点而在应用层实现的传输协议 也是三者之中最可靠的对于线上服务器 为了日志安全起见 建议

最低0.47元/天 解锁文章
补充:linux rsyslog配置多端口监听(基于UDP)
z19861216的博客
11-23 1528
linux rsyslog配置多端口监听(基于UDP)
linux rsyslog三种远程转发配置方式
z19861216的博客
11-11 1004
linux rsyslog三种远程转发配置方式
Syslog-ng+Rsyslog收集日志:RELP可靠传输,替代UDPTCP(五)
weixin_34326558的博客
04-21 356
在传输过程中TCP虽然比UDP可靠,但是是明文传输,Rsyslog提供了一个比TCP更可靠的传输,RELPRELP传输,不会丢失信息,但只在rsyslogd 3.15.0及以上版本中可用。使用RELP需要两部,开启omrelp模块,在传输时将TCP的@,替换成“:omrelp:”(黄颜色部分)1.安装RELP:yuminstall-yrsyslog-relp2.用法:...
rsyslog-relp-8.24.0-57.el7_9.1.x86_64.rpm
12-16
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
安全防御与运营保障之Linux配置rsyslog日志
最新发布
没有网络安全就没有国家安全
03-19 1232
安全防御与运营保障之Linux配置rsyslog日志
TCP通信与UDP通信记录
时时总结,常常分享
04-30 2882
文章目录
Oracle DataGuard日志传输
weixin_34365635的博客
11-02 526
1. 日志传输方式 有两种日志传输方式(ARC和LGWR),第一种是采用ARC进程传输日志,其示意图如下: 注:上图来自《大话Oracle RAC》 其大致过程如下: 1)主库:日志先写入在线重做日志,当在线重做日志满后(或人为切换), ARC0进程归档该日志至主库本地归档目录,...
linux rsyslog 系统日志转发
whatday的专栏
05-08 2347
一、rsyslog 介绍   ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地,据官网介绍,现在可以处理100万条信息。   特性:1.多线程      2.支持加密协议:ssl,tls,relp      3.mysql、oracle、postgreSQL      4.等...
Linux日志服务rsyslog深度解析(下)
博客虽小,世界尽在其中
06-08 2664
本文深入探讨了Linux系统中重要的日志服务工具rsyslog的应用与配置。首先,我们简要介绍了rsyslogLinux日志管理中的重要地位,以及它如何帮助系统管理员有效地收集、过滤和存储日志信息。接着,文章详细阐述了rsyslog的基本配置方法,包括如何设置日志消息的接收、过滤和转发规则,以满足不同应用场景的需求。 随后,我们深入讲解了rsyslog的远程存储功能,包括如何将日志消息存储到数据库(如MySQL)和消息队列(如Kafka)等远程服务中。在这部分,我们介绍了如何安装必要的驱动模块、配置rsy
Linux环境下搭建Rsyslog日志服务
橘子女侠
04-05 5148
1. Rsyslog日志服务简介 (1)Rsyslog简介 rsyslog( rocket-fast system for log),它提供了高性能,高安全功能和模块化设计。rsyslog能够接受从各种各样的来源,将其输入,输出的结果到不同的目的地。 (2)为什么要是有Rsyslog web服务器多的时候检查日志是一件痛苦的事情; 使用一台统一的日志服务器,将登录认证,系统日...
Linuxrsyslog、日志轮转
qq_60787657的博客
11-29 4579
Rsyslog的全称是 rocket-fast system for log,它提供了高性能,高安全功能和模块化设计。rsyslog能够接受从各种各样的来源,将其输入,输出的结果到不同的目的地。rsyslog可以提供超过每秒一百万条消息给目标文件。多线程可以通过许多协议进行传输UDPTCP,SSL,TLS,RELP;直接将日志写入到数据库;支持加密协议:ssl,tls,relp强大的过滤器,实现过滤日志信息中任何部分的内容自定义输出格式;rsyslog日志转发,logrotate,日志轮转
Linux日志服务rsyslog深度解析(上)
博客虽小,世界尽在其中
06-07 2956
本文深入探讨了Linux系统中日志服务rsyslog的核心功能、配置方法以及在实际应用中的最佳实践。rsyslog作为Linux系统日志管理的关键组件,不仅负责收集、处理和转发系统日志,还能为系统管理员提供强大的日志分析工具,帮助快速定位和解决系统问题。 首先,文章介绍了rsyslog的基本概念和工作原理,包括其作为系统日志守护进程的角色,以及如何通过配置文件实现日志的收集、过滤和存储。接着,文章详细解析了rsyslog配置文件,包括全局配置、模板定义、过滤规则等关键部分,并提供了实用的配置示例。 在深入
通过Rsyslog实现对Nginx日志发送至日志服务
weixin_33858249的博客
12-02 2051
配置文件/etc/rsyslog.conflocal 1~7 –自定义的日志设备:日志级别:———————————————————————-debug 0 –有调式信息的,日志信息最多info 1 –一般信息的日志,最常用notice 2 –最具有重要性的普通条件的信息warning 3 –警告级别err 4 –错误...
RSYSLOG系列】rsyslog远程服务器搭建
day day up
11-11 3623
搭建接收日志的rsyslog服务
TCP协议,UDP,以及TCP通信服务器的文件传输
weixin_30716725的博客
08-31 181
TCP通信过程 下图是一次TCP通讯的时序图。TCP连接建立断开。包含大家熟知的三次握手和四次握手。 在这个例子中,首先客户端主动发起连接、发送请求,然后服务器端响应请求,然后客户端主动关闭连接。两条竖线表示通讯的两端,从上到下表示时间的先后顺序。注意,数据从一端传到网络的另一端也需要时间,所以图中的箭头都是斜的。 三次握手 建立连接 建立连接(三次握手)的过程: 客户端发送一个...
用于 syslog 收集的协议:TCPUDPRELP
ITmoster的博客
11-22 1773
系统日志是从 Linux/Unix 设备和其他网络设备(如交换机、路由器和防火墙)生成的日志 可以通过将 syslog 聚合到称为 syslog 服务器、syslog 守护程序或 syslogd 的服务器来集中 syslog。在TCPUDPRELP协议的帮助下,系统日志从设备传输到系统日志守护程序。
使用rsyslog拉取N台远程服务器日志
weixin_47657939的博客
01-30 925
使用rsyslog拉取N台远程服务器日志 一天踩一坑,坑坑不一样 接到任务多台服务器的多个日志文件拉取到本地服务器然后使用ELK展示,时间一天 当时还想着几分钟的事,结果发现好多坑 问题1:拉取到本地,都往一个文件里写验证后发现只拉取了一个日志文件 local /var/log/mylog local1 /var/log/mylog local2 /var/log/mylog 问题2:按照数字编号写的名字,最后发现从第七个开始不再往本地拉取了(确定配置没有写错) 磨磨唧唧一天下来竟然没弄完。尴尬。
[Oracle] Data Guard 系列(2) - 日志传输
Zhu_Julian's Notes (朱显杰的技术博客)
06-14 6034
Oracle Data Guard从宏观上来说,主要提供以下两个服务: 1)日志传输:主库把生成的Redo日志传输至备库; 2)日志应用:备库应用从主库传输过来的Redo日志。 本文先介绍其中的日志传输服务,日志应用服务在下节《Data Guard 系列(3) - 日志应用》介绍。 1. 日志传输方式 有两种日志传输方式(ARC和LGWR),第一种是采用ARC进程
Rsyslog 日志集中管理实验
weixin_42795092的博客
03-28 1072
(server)host-5(192.168.1.2)<------------>(192.168.1.3)host-6(client)将 host-6上的日志传输到 host-5上。在服务器端:除了修改/etc/rsyslog 中的传输方式外,还要修改/etc/sysconfig/rsyslog 中。C/S 架构:客户端将其日志上传到服务器端,通过对服务器端日志的查询,来实现对其他客户端的日志进行集中管理。配置文件下的监听端口是否一致;注意之前若采用的是udp传输,改tcp传输需注释之前的udp传输。
CentOS 7部署 Rsyslog 日志服务器,将其余云主机产生的日志收集至 node5 主机,日志使用 TCPUDP 方式传输,要求日志内容包括服务运行日志和安全日志,并能够写入到 cloud_rs yslog 数据库中。
03-10
<think>好的,我现在需要帮助用户在CentOS 7上配置Rsyslog服务器,收集多台云主机的日志,使用TCPUDP协议,并存储到名为cloud_rsyslog的数据库中。首先,我得回忆一下相关的步骤和可能遇到的问题。 用户提到了参考引用中的几个资料,特别是引用[3]和[4],其中提到CentOS 7配置rsyslog接收日志,包括启用TCPUDP模块,以及动态生成日志文件。但用户的需求还涉及数据库存储,而引用[2]提到rsyslog支持数据库存储,可能需要配置输出到数据库。 首先,确认rsyslog的版本是否支持数据库模块。CentOS 7默认的rsyslog版本可能较旧,可能需要升级或安装额外的模块。比如,可能需要安装rsyslog-mysql或rsyslog-pgsql等包,具体取决于使用的数据库类型。用户提到的数据库名是cloud_rsyslog,可能是指MySQL/MariaDB或PostgreSQL,但用户没有明确说明,可能需要假设为MySQL。 接下来,步骤可能包括: 1. 安装并更新rsyslog,确保支持需要的模块。 2. 配置rsyslog以启用TCPUDP监听,如引用[3]中的$ModLoad imtcp和$InputTCPServerRun 514,同样需要UDP部分。 3. 配置日志接收规则,可能需要模板来定义存储格式,如动态文件名或数据库字段。 4. 安装并配置数据库,创建cloud_rsyslog数据库及相应的表结构,可能需要使用rsyslog提供的SQL脚本。 5. 配置rsyslog将日志写入数据库,可能需要设置模块ommysql或ompgsql。 6. 设置防火墙规则,开放514端口(TCPUDP)。 7. 测试配置,确保客户端日志能正确发送并存储到数据库。 需要注意的点: - 数据库模块是否已安装,如rsyslog-mysql。 - 数据库的用户权限,确保rsyslog能连接并写入。 - SELinux和防火墙设置是否正确,避免拦截连接。 - 日志模板是否与数据库表结构匹配。 - 是否启用了必要的模块,如imtcp、imudp和ommysql。 可能遇到的问题: - 如果rsyslog版本过低,可能不支持某些功能,需要添加第三方仓库(如epel)或升级。 - 数据库连接错误,比如权限问题或驱动问题。 - 日志无法写入数据库,可能由于表结构不匹配或模板配置错误。 需要检查的配置文件和指令: - /etc/rsyslog.conf 主配置文件 - /etc/rsyslog.d/ 下的自定义配置文件,比如启用数据库输出 - 使用rsyslog-doc查看数据库配置示例 - 数据库的创建和用户授权 现在,按照这些思路整理步骤,确保每个部分都正确,并参考用户提供的引用内容中的相关部分,比如启用TCP/UDP,动态日志存储等。同时,确保数据库存储部分正确配置,可能需要创建数据库表,使用rsyslog提供的SQL脚本,如通常在/usr/share/doc/rsyslog-mysql-*/目录下。 最后,测试步骤,包括发送测试日志,检查数据库是否有记录,以及处理可能出现的错误信息。</think>### 分步配置指南 #### 一、安装必要软件包 1. 更新系统并安装rsyslog及数据库模块: ```bash yum update -y yum install -y rsyslog rsyslog-mysql # 假设使用MySQL/MariaDB数据库 ``` 2. 安装数据库服务(如未安装): ```bash yum install -y mariadb-server mariadb systemctl start mariadb systemctl enable mariadb ``` #### 二、配置数据库存储 1. 创建数据库和表结构: ```bash mysql -u root -p CREATE DATABASE cloud_rsyslog; GRANT ALL ON cloud_rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'your_password'; FLUSH PRIVILEGES; ``` 2. 导入rsyslog提供的表结构: ```bash mysql -u root -p cloud_rsyslog < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql # 路径可能因版本不同而变化 ``` #### 三、配置rsyslog服务端 1. 启用TCP/UDP模块: ```bash # 修改/etc/rsyslog.conf,添加以下内容 module(load="imtcp") # TCP模块 module(load="imudp") # UDP模块 input(type="imtcp" port="514") input(type="imudp" port="514") ``` 2. 配置数据库输出: ```bash # 在/etc/rsyslog.d/mysql.conf中添加 module(load="ommysql") # 加载MySQL输出模块 template(name="sql_format" type="string" string="insert into SystemEvents (Message, FromHost, SysLogTag) values ('%msg%', '%hostname%', '%syslogtag%')") # 适配表结构 action(type="ommysql" server="localhost" db="cloud_rsyslog" uid="rsyslog" pwd="your_password" template="sql_format") ``` 3. 设置日志接收规则(可选): ```bash # 在/etc/rsyslog.d/remote.conf中添加 $template DynamicFile,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log" # 引用动态路径配置[^4] *.* ?DynamicFile & stop # 停止后续处理(避免重复写入) ``` #### 四、防火墙与SELinux设置 1. 开放514端口: ```bash firewall-cmd --permanent --add-port=514/tcp firewall-cmd --permanent --add-port=514/udp firewall-cmd --reload ``` 2. 调整SELinux策略: ```bash setsebool -P rsyslog_export_db 1 semanage port -a -t syslogd_port_t -p tcp 514 semanage port -a -t syslogd_port_t -p udp 514 ``` #### 五、重启服务并验证 ```bash systemctl restart rsyslog # 测试日志发送(客户端执行) logger -n 服务器IP -P 514 -T "Test TCP message" logger -n 服务器IP -P 514 -d "Test UDP message" # 检查数据库记录 mysql -u root -p -e "SELECT * FROM cloud_rsyslog.SystemEvents LIMIT 1;" ``` ### 客户端配置示例(Linux) 1. 编辑客户端`/etc/rsyslog.conf`: ```bash *.* @@(o)服务器IP:514 # TCP发送 *.* @服务器IP:514 # UDP发送 ``` 2. 重启客户端服务: ```bash systemctl restart rsyslog ``` ### 注意事项 1. 数据库表结构需与模板字段匹配,可通过修改`sql_format`调整映射关系[^2] 2. 高并发场景建议分开TCP/UDP端口或使用RELP协议提升可靠性[^1] 3. Windows客户端需使用evtsys等工具发送syslog日志[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值