【rsyslog】rsyslog开发环境搭建和使用

已于 2025-03-26 11:28:47 修改
阅读量524 收藏 7
点赞数 5
分类专栏: Linux 文章标签: linux
于 2025-02-13 16:04:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38089448/article/details/145614492
版权

此文章描述如何使用源代码构建rsyslog的流程和测试方法,如果想在ubuntu上使用,可以直接执行

sudo apt install rsyslog

来完成安装

以下基于master最新源码编译

1.下载代码搭建代码环境

git clone https://github.com/rsyslog/rsyslog.git
cd rsyslog
git checkout v8.2204.0  # 替换为你需要的版本号

安装编译依赖

sudo apt update
sudo apt install build-essential autoconf automake libtool pkg-config \
                 libestr-dev libfastjson-dev liblogging-stdlog-dev \
                 libgcrypt-dev libssl-dev zlib1g-dev uuid-dev \
                 libsystemd-dev libhiredis-dev libmysqlclient-dev \
                 libpq-dev libgnutls28-dev libcurl4-gnutls-dev docutils bison flex python-docutils

如果在第二部分编译过程中遇到缺库情况可以参考此部分安装依赖库

2.生成构建配置

在源码目录中运行以下命令:

autoreconf -fvi

生成configure脚本后,运行以下命令配置构建环境

./configure --help                                      # 查询支持的配置项
./configure --enable-all --prefix=/home/zx/Desktop/codes/new/build   # 指定安装路径

编译并安装

make & make install

3.安装完成后添加配置文件

make install后目录如下:

image

etc目录需要手动创建,里面放置运行配置文件:

├── etc
│   ├── rsyslog.conf
│   └── rsyslog.d
│       ├── 20-ufw.conf
│       ├── 50-default.conf

rsyslog.conf为配置文件,内容如下:

#  /etc/rsyslog.conf	Configuration file for rsyslog.
#
#			For more information see
#			/usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
#
#  Default logging rules can be found in /etc/rsyslog.d/50-default.conf


#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
#module(load="immark")  # provides --MARK-- message capability

# provides UDP syslog reception
#module(load="imudp")
#input(type="imudp" port="514")

# provides TCP syslog reception
#module(load="imtcp")
#input(type="imtcp" port="514")

# provides kernel logging support and enable non-kernel klog messages
module(load="imklog" permitnonkernelfacility="on")

###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Filter duplicated messages
$RepeatedMsgReduction on

#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog
$ActionFileEnableSync on

#
# Where to place spool and state files
#
$WorkDirectory /home/zx/Desktop/codes/new/build/log/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /home/zx/Desktop/codes/new/build/etc/rsyslog.d/*.conf

50-default.conf

#  Default rules for rsyslog.
#
#			For more information see rsyslog.conf(5) and /etc/rsyslog.conf

#
# First some standard log files.  Log by facility.
#
auth,authpriv.*			/var/log/auth.log
*.*;auth,authpriv.none		-/var/log/syslog
#cron.*				/var/log/cron.log
#daemon.*			-/var/log/daemon.log
kern.*				-/var/log/kern.log
#lpr.*				-/var/log/lpr.log
mail.*				-/var/log/mail.log
local0.*            -/var/log/local0.log        # 自定义的local0输出log所存在的路径
#user.*				-/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
#mail.info			-/var/log/mail.info
#mail.warn			-/var/log/mail.warn
mail.err			/var/log/mail.err

#
# Some "catch-all" log files.
#
#*.=debug;\
#	auth,authpriv.none;\
#	news.none;mail.none	-/var/log/debug
#*.=info;*.=notice;*.=warn;\
#	auth,authpriv.none;\
#	cron,daemon.none;\
#	mail,news.none		-/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg				:omusrmsg:*

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
#	news.=crit;news.=err;news.=notice;\
#	*.=debug;*.=info;\
#	*.=notice;*.=warn	/dev/tty8

20-ufw.conf

# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& stop

配置文件添加完成后,即可开始测试

4.手动拉起测试

4.1 手动拉起守护进程

sudo /home/zx/Desktop/codes/new/build/sbin/rsyslogd -f /home/zx/Desktop/codes/new/build/etc/rsyslog.conf

4.2 辅助命令

kill掉rsyslogd

sudo pkill rsyslogd

查询rsyslog是否正在运行

ps aux | grep rsyslog

查看运行日志

tail -f /var/log/syslog

4.3 测试log

logger -p local0.info "This is a test log message from the app"

在/var/log/local0.log中即会出现This is a test log message from the app内容

zx@zx-VirtualBox:~$ cat /var/log/local0.log 
Feb 12 17:12:12 zx-VirtualBox zx: This is a test log message from the app
Feb 12 17:12:13 zx-VirtualBox zx: This is a test log message from the app
Feb 12 17:13:38 zx-VirtualBox zx: message repeated 13 times: [ This is a test log message from the app]
Feb 12 17:19:49 zx-VirtualBox zx: T123123213213123
Feb 12 17:19:50 zx-VirtualBox zx: T123123213213123
Feb 12 17:20:03 zx-VirtualBox zx: T12123
Feb 12 17:20:13 zx-VirtualBox zx: T12123sdfdsf
Feb 12 17:23:29 zx-VirtualBox zx: T12123sdfdsf
Feb 12 17:23:30 zx-VirtualBox zx: T12123
Feb 13 09:52:37 zx-VirtualBox zx: T1123123213

4.4 在C代码中使用rsyslog记录log

#include <syslog.h>  
#include <stdio.h>   
#include <stdlib.h> 

int main() {
    // 打开 syslog 连接
    // 参数1:标识符(通常为程序名称)
    // 参数2:选项(LOG_PID 表示在日志中包含进程 ID)
    // 参数3:设施(LOG_LOCAL0 表示用户级别的日志)
    openlog("local", LOG_PID, LOG_LOCAL0);

    // 记录日志
    syslog(LOG_INFO, "This is an informational message.");
    syslog(LOG_WARNING, "This is a warning message.");
    syslog(LOG_ERR, "This is an error message.");

    // 关闭 syslog 连接
    closelog();

    return 0;
}

5.rsyslog配置项

5.1 各模块功能梳理

5.1.1 Output Modules

omamqp1: AMQP 1.0 消息输出模块
omazureeventhubs: Microsoft Azure Event Hubs 输出模块
omclickhouse: ClickHouse 输出模块
omdtls: 通过 UDP 的 DTLS 协议输出模块
omelasticsearch: Elasticsearch 输出模块
omfile: 文件输出模块
omfwd: 系统日志转发输出模块
omhdfs: Hadoop 文件系统输出模块 omhdfs: Hadoop 文件系统输出模块
omhiredis: Redis 输出模块 Redis 输出模块
omhttp: HTTP 输出模块
omhttpfs: Hadoop HTTPFS 输出模块
omjournal: omjournal: Systemd 日志输出
omkafka: 写入 Apache Kafka
omibdbi: 通用数据库输出模块
ommail: 邮件输出模块
ommongodb: MongoDB 输出模块
ommysql: MariaDB/MySQL: 数据库输出模块
omoracle: Oracle 数据库输出模块 omoracle: Oracle 数据库输出模块
PostgreSQL 数据库输出模块(ompgsql)
ompipe: 管道输出模块
omprog: 程序集成输出模块
omrabbitmq: RabbitMQ 输出模块
omrelp: RELP 输出模块
omruleset: 规则集输出/包含模块
omsnmp: SNMP 陷阱输出模块
omstdout: stdout 输出模块(测试台工具)
omudpspoof: UDP 欺骗输出模块
omusrmsg: 通知用户
omuxsock: Unix 套接字输出模块
GuardTime 日志签名提供程序 (gt)
无密钥签名基础架构提供程序 (ksi)
KSI 签名提供程序 (rsyslog-ksi-ls12)

文档链接:https://www.rsyslog.com/doc/configuration/modules/idx_output.html

5.1.2 Input Modules

im3195: RFC3195 输入模块
imbatchreport: 批量报告输入模块
imdocker: Docker 输入模块
imdtls: 通过 UDP 的 DTLS 协议输入模块
imfile: 文本文件输入模块 文本文件输入模块
imgssapi: GSSAPI 系统日志输入模块
Imhiredis: Redis 输入插件 Redis 输入插件
imhttp: http 输入模块
imjournal: Systemd日志输入模块
imkafka: 从 Apache Kafka 读取数据
imklog: 内核日志输入模块
imkmsg: /dev/kmsg 日志输入模块
immark: 标记消息输入模块
Impcap: 网络流量捕获
improg: 程序集成输入模块
impstats: 生成内部计数器的定期统计数据
imptcp: 普通 TCP 系统日志
imrelp: RELP 输入模块 RELP 输入模块
imsolaris: Solaris 输入模块 Solaris 输入模块
imtcp: TCP: 系统日志输入模块
imtuxedoulog: Tuxedo ULOG 输入模块 Tuxedo ULOG 输入模块
imudp: UDP Syslog 输入模块
imuxsock: Unix套接字输入模块

文档链接:https://www.rsyslog.com/doc/configuration/modules/idx_input.html

5.1.3 Parser Modules

pmciscoios
pmdb2diag: DB2 Diag 文件解析器模块
pmlastmsg:最后一条信息重复 n 次
日志消息规范化解析器模块(pmnormalize)
pmnull: Syslog 空解析器模块
pmrfc3164: 解析 RFC3164 格式的报文
pmrfc3164sd: 解析 RFC3164 报文中的 RFC5424 结构化数据
pmrfc5424: 解析 RFC5424 格式的报文

文档链接:https://www.rsyslog.com/doc/configuration/modules/idx_parser.html

5.1.4 Message Modification Modules

IP Address Anonymization Module (mmanon)
mmcount
Darwin connector (mmdarwin)
MaxMind/GeoIP DB lookup (mmdblookup)
Support module for external message modification modules
Fields Extraction Module (mmfields)
JSON/CEE Structured Content Extraction Module (mmjsonparse)
Kubernetes Metadata Module (mmkubernetes)
Log Message Normalization Module (mmnormalize)
RFC5424 structured data parsing module (mmpstrucdata)
mmrfc5424addhmac
mmrm1stspace: First Space Modification Module
Number generator and counter module (mmsequence)
mmsnmptrapd message modification module
mmtaghostname: message modification module
Fix invalid UTF-8 Sequences (mmutf8fix)

文档链接:https://www.rsyslog.com/doc/configuration/modules/idx_messagemod.html

5.1.5 String Generator Modules

smfile - 默认的 rsyslog 文件格式
smfwd - 默认的 rsyslog(网络)转发格式
smtradfile - 传统的 syslog 文件格式
smfwd - 传统的 syslog(网络)转发格式

文档链接:https://www.rsyslog.com/doc/configuration/modules/idx_stringgen.html

6.rsyslog功能配置示例

6.1 log文件数量及大小限制

方法1:

使用 A c t i o n F i l e M a x F i l e S i z e 和 ActionFileMaxFileSize和 ActionFileMaxFileSizeActionFileMaxFiles来设置日志文件的大小和数量。例如:

$ActionFileMaxFileSize 10M       # 每个日志文件最大 10MB
$ActionFileMaxFiles 5            # 最多保留 5 个日志文件

此处添加完配置项后,尝试拉起rsyslogd,有问题

zx@zx-VirtualBox:~/Desktop/codes/new/rsyslog$ sudo /home/zx/Desktop/codes/new/build/sbin/rsyslogd -f /home/zx/Desktop/codes/new/build/etc/rsyslog.conf 
rsyslogd: invalid or yet-unknown config file command 'ActionFileMaxFileSize' - have you forgotten to load a module? [v8.2502.0.master try https://www.rsyslog.com/e/3003 ]
rsyslogd: invalid or yet-unknown config file command 'ActionFileMaxFiles' - have you forgotten to load a module? [v8.2502.0.master try https://www.rsyslog.com/e/3003 ]

尝试在rsyslog.conf中添加

module(load="omfile")

但是源码编译生成的lib库中没有omfile.so,这个问题还需要详细看一下

方法2:

假设您不想花费超过 100 MB 的硬盘空间 为你日志。使用 rsyslog,您可以配置 Output Channels 以实现 这。放置以下指令

# start log rotation via outchannel
# outchannel definition
$outchannel log_rotation,/var/log/log_rotation.log, 52428800,/home/me/./log_rotation_script
#  activate the channel and log everything to it
*.* :omfile:$log_rotation
# end log rotation via outchannel

● outchannel: 自定义的通道名称
● /var/log/mylog.log是日志文件路径
● 10485760是文件大小上限

到 rsyslog.conf 指示 rsyslog 将所有内容记录到目标 文件 ‘/var/log/log_rotation.log’ 直到给定的文件大小为 50 MB 达到。如果达到最大文件大小,它将执行作。在 在我们的例子中,它执行脚本 /home/me/log_rotation_script 包含单个命令:

mv -f /var/log/log_rotation.log /var/log/log_rotation.log.1


#!/bin/bash

# 设置初始文件名
filename="123.txt"

# 检查文件是否存在
if [ ! -f "$filename" ]; then
  echo "Error: File '$filename' does not exist."
  exit 1
fi

# 循环 10 次
for i in {1..10}; do
  # 查找当前目录中与文件名匹配的最大数字后缀
  max_num=0
  for file in "$filename".*; do
    if [[ $file =~ \.([0-9]+)$ ]]; then
      num=${BASH_REMATCH[1]}
      if [ "$num" -gt "$max_num" ]; then
        max_num=$num
      fi
    fi
  done

  # 新文件的后缀数字加 1
  new_num=$((max_num + 1))
  new_filename="${filename}.${new_num}"

  # 移动文件
  mv "$filename" "$new_filename"

  echo "Moved '$filename' to '$new_filename'"

  # 更新文件名,以便下一次循环使用
  # filename="$new_filename"
done

这会将原始日志移动到一种备份日志文件。在 作已成功执行 rsyslog 创建一个新的 /var/log/log_rotation.log 文件,并用新日志填充它。所以 最新日志始终处于log_rotation.log。













以上过程如有问题可参考官方工程文档:
https://www.rsyslog.com/doc/installation/install_from_source.html

ubantu16.04下rsyslog的配置与使用(日志文件传输)
GentleCP的博客
06-17 2123
本文主要介绍了ubantu16.04系统下的rsyslog服务配置与使用,主要应用在日志文件传输,网上找的资料讲的感觉不够详细,因此自己写了以下配置的过程,仅供参考。
CentOS7 源码安装rsyslog
Jerion' Blog的博客
01-07 984
`rsyslog` 是一个速度极快的日志处理系统,用于日志管理的开源软件,通常用于 Unix-like 系统(包括 Linux)上,它负责接收、处理、存储转发日志消息。作为系统日志守护进程,`rsyslog` 是 Linux 系统中最常用的日志服务之一。
Rsyslog服务端与客户端部署与配置
最新发布
tersky的专栏
04-16 337
本文档介绍了如何在服务端客户端部署配置rsyslog,并配置了客户端将日志转发到服务端。服务端根据客户端的 IP 地址生成不同的日志文件。最后,还配置了日志轮转,以确保日志文件不会过大。通过这些配置,你可以实现一个基本的集中日志管理系统。如果有其他需求,仍可根据实际情况进一步优化配置。
搭建rsyslog日志服务器
07-27 1544
centos7 已经用rsyslog区取代了之前的syslog,新版本功能更强大,兼容老版本。
Ubuntu配置rsyslog
weixin_46564680的博客
09-29 3351
rsyslog配置 安装 默认情况下,Rsyslog安装在Ubuntu 18.04服务器上。如果没有安装,您可以通过运行以下命令来安装它: apt install rsyslog -y 服务端 1. 开启TCP监听接收日志 vim /etc/rsyslog.conf module(load=“imtcp”) input(type=“imtcp” port=“514”) 2. 指定IP、子网、域名限制访问,根据现场情况指定 $AllowedSender TCP, 127.0.0.1, 192.168.0.0/
rsyslog日志服务管理及实验
jeker的博客
01-01 890
#课文内容 ##系统日志管理 ###系统日志介绍 ###sysklogd 系统日志服务 ###rsyslog 系统日志服务 ###ELK ##rsys日志管理 ###系统日志术语 ###rsyslog相关文件 ###rsyslog配置文件 ###启用网络日志服务 ###常见日志文件 ##日志管理工具journalctl #课文实验 ##实验内容:利用mysql存储日志实验 ###目标 ###环境准...
使用Ubuntu系统自带工具rsyslog搭建日志服务器,用于采集网络交换机外发日志。
weixin_42684175的博客
11-30 1574
通过使用VMware® Workstation 17 Pro创建Ubuntu日志服务器 ,华为ensp模拟交换机环境,在虚拟机模拟器环境测试成功后,把虚拟机拷贝到生成环境,达到现场开箱即用的效果
搭建高性能日志服务器,rsyslog日志服务器搭建
weixin_36246029的博客
08-06 3748
第1章 简介1.1 Rsyslog介绍rsyslog是比syslog功能更强大的日志记录系统,可以将日志输出到文件,数据库其它程序。ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地,并可定制过滤、筛选。据官网介绍,现在可以处理100万条信息。特性:1、可以直接将日志写入到数据库。2...
rsyslog loganalyzer 搭建日志服务器.doc
07-06
搭建一个rsyslogloganalyzer的日志服务器是一个关键任务,特别是在需要集中管理分析网络设备、应用服务器以及其他系统组件产生的大量日志数据时。这个过程涉及到rsyslog的配置以接收处理日志,以及loganalyzer...
rsyslog交叉编译集成包
12-19
rsyslog是一个开源、高效、安全的日志消息处理系统,常用于Linux其他UNIX-like系统中。它不仅支持本地系统日志的收集存储,...这一切都建立在对交叉编译环境工具链的深入理解以及对rsyslog软件包的正确配置之上。
CentOS7+Rsyslog+Loganalyzer+MySQL 搭建 Rsyslog 日志服务器
alanpo_的博客
07-27 1714
Rsyslog 日志服务器 一、简介 在centos7系统中,默认的日志系统是rsyslog,它是一类unix系统上使用的开源工具,用于在ip网络中转发日志信息,rsyslog采用模块化设计,是syslog的替代品。 rsyslog 日志管理服务器可以解决以下问题: 不再需要逐台服务器去查询系统日志文件 将日常的系统信息存储在mysql数据中,方便进行查询、统计、审计过滤等操作 通过其他软件可以实现扩平台日志收集,如使用evtsys采集window日志发送到linux日志服务器上 在linux下rsy.
CentOS7.4搭建利用Rsyslog+LogAnalyzer+MariaDB部署日志服务器
12-06
CentOS7.4搭建利用Rsyslog+LogAnalyzer+MariaDB部署日志服务器
如何在 Ubuntu 14.04 上使用 Rsyslog、Logstash Elasticsearch 实现日志集中管理
rubys007的博客
04-10 2132
理解组织生成的数百万条日志行可能是一个艰巨的挑战。一方面,这些日志行提供了对应用程序性能、服务器性能指标安全性的视图。另一方面,日志管理分析可能非常耗时,这可能会阻碍对这些日益必要的服务的采用。开源软件,如 rsyslog、Elasticsearch Logstash 提供了传输、转换存储日志数据的工具。在本教程中,您将学习如何创建一个集中的 rsyslog 服务器,以存储来自多个系统的日志文件,然后使用 Logstash 将它们发送到 Elasticsearch 服务器。
Rsyslog server的搭建过程
weixin_45537413的博客
02-25 1052
一、安装rsyslog服务,初始设置 1. 如果没有rsyslog需要安装,并创建接受日志的文件夹 yum install rsyslog -y mkdir -pv /root/log 2. rsyslog的配置文件需要修改 [root@c3]# grep -v "^#" /etc/rsyslog.conf | grep -v "^$" $ModLoad imuxsock # provides support for local system logging (e.g. via log...
搭建日志服务器 rsyslog
陆家嘴伏地魔
03-30 1312
rsyslog是比syslog功能更强大的日志记录系统,可以将日志输出到文件,数据库其它程序。
Centos6.7搭建Rsyslog日志服务器
热门推荐
Steven的博客
12-27 1万+
前言:随着机房内的服务器网络设备增加,日志管理查询就成了让系统管理员头疼的事。系统管理员遇到的常见问题如下: 1、日常维护过程中不可能登录到每一台服务器设备上去查看日志; 2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的; 3、在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹; 4、zabbix等
内核日志:API 及实现
weixin_39094034的博客
12-06 607
使用日志进行调试的方法由来已久。日志不仅在理解系统的内部操作方面很有用,而且对于通过时间标记的日志中按时间顺序排列的消息所记录的系统活动的计时关系也非常有用。 本文首先通过介绍用于配置收集日志信息的应用程序接口(API)来说明了内核的日志(见图 1 关于总结框架组件的示意图)。然后,本文介绍了日志数据从内核到用户空间的移动过程。最后,本文还介绍了基于内核的日志数据的目标:用户空间中使用rsyslog进行日志管理。 图 1. 内核日志生态系统主要组件 内核 API 内核的日志是通过p...
Docker:安装 Syslog-ng 的技术指南
木头
10-23 890
本文介绍了使用Docker部署Syslog-ng日志管理系统的详细步骤。首先通过Docker Compose配置容器,创建必要的目录结构配置文件,启动Syslog-ng服务。然后以Spring Boot应用为例,演示了如何通过Logback将Java日志发送到Syslog-ng服务器,包括依赖引入、log4j配置示例代码编写。最后提供了日志验证方法,确保日志成功接收并存储。这种部署方式简化了Syslog-ng的安装过程,实现了高效的日志集中管理,适用于各种应用场景。
Docker HAproxy 配置 & rsyslog 日志处理
zhengxia19的专栏
03-25 1579
环境 CentOS Linux release 7.9.2009 (Core) HAProxy version 2.3.6-7851701, released 2021/03/03 IP: 192.168.0.1 Docker 安装 Docker 安装 建立haproxy配置文件 # 新建目录 mkdir -p /etc/haproxy # 备份配置文件 cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.`date +%Y%m%d_%H%
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值