【rsyslog】使用rsyslog采集设备日志输出到logstash

最新推荐文章于 2024-06-08 07:30:00 发布
最新推荐文章于 2024-06-08 07:30:00 发布
阅读量632 收藏
点赞数
分类专栏: 运维 logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shen12138/article/details/118608453
版权
本文档详细介绍了如何配置rsyslog模块,通过imudp输入模块监听514端口,接收到日志后按照指定模板格式化,并使用omfwd将日志转发到目标IP的5144端口。配置中涉及队列管理,包括最大文件大小、保存策略等,确保日志处理的高效和可靠性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

module(load="imudp" threads="4"
       timeRequery="8" batchSize="128")

input(type="imudp" port="514"
      ruleset="writeRemoteData")

template(name="outfmt" type="string" 
     string="{\"message\":\"%msg:::json%\",\"source\":\"%fromhost%\",\"facility\":\"%syslogfacility-text%\",
\"priority\":\"%syslogpriority-text%\",\"timereported\":\"%timereported:::date-rfc3339%\",\"timegenerated\":\"%timegenerated:::date-rfc3339%\"}")

ruleset(name="writeRemoteData"
	queue.filename="mainQ"
	queue.spoolDirectory="/app/wutongshu/rsyslog"
    queue.type="LinkedList"
	queue.maxfilesize="1024M"
	queue.saveOnShutdown="on"
    queue.size="2500000"
    queue.dequeueBatchSize="4096"
    queue.workerThreads="8"
#	queue.discardSeverity ="4"
    queue.workerThreadMinimumMessages="120000"
       ) {
    action(type="omfwd" template="outfmt" target="192.168.113.99" port="5144" protocol="tcp")
}

参考:高性能接收日志样例

参考:队列基础知识

参考:队列参数

参考:队列权威指南

配置rsysloglogstash_syslog+rsyslog+logstash+elasticsearch+kibana搭建日志收集
weixin_39576270的博客
12-20 279
最近rancher平台上docker日志收集捣腾挺久的,尤其在配置上,特写下记录Unix/Linux系统中的大部分日志都是通过一种叫做syslog的机制产生和维护的。syslog是一种标准的协议,分为客户端和服务器端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息,并做出保存到特定的日志文件中或者其他方式的处理。ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安...
配置rsysloglogstash_rsyslog通过自定义json格式发送日志信息给logstash
weixin_39552204的博客
12-20 1303
需求:通过自定义rsyslog输出格式,通过json编码方式将日志信息发送logstash进行处理。Rsyslog配置:1、将centos6.5的rsyslog升级到最新版[root@centos-yum ~]# vi/etc/yum.repo.d/rsyslog.repo[rsyslog_v8]name=AdisconCentOS-$releasever-localpackagesfor$b...
Syslog发送日志+Logstash处理日志
weixin_46356409的博客
01-11 5979
Syslog(System Logging Protocol)是一种用于计算机系统日志记录的标准协议。它允许设备(如服务器、路由器、防火墙等)将事件消息发送到指定的日志收集服务器,以便集中管理和分析。通过使用Syslog,您可以跟踪您的网络中的活动并在出现问题时快速识别和解决问题。要将告警日志发送到某台机器的某个端口,您需要在发送端(产生日志设备)和接收端(日志收集服务器)上配置Syslog。这里我们以rsyslog为例,rsyslog是Linux系统上常用的Syslog服务器。
rsyslog+elk 网络设备日志收集及钉钉报警
机智的埃努
09-21 2412
目录 一.概要 二.实施 1.数据源 2.rsyslog 3.elasticsearch 4.logstash 5.kibana 三.日志展示 1.打开kibana页面 四·钉钉报警 1.elastalert 2.dingtalk 3.rule 4.报警脚本 5.报警测试 一.概要 二.实施 1.数据源 1.网络设备日志,可用模拟器如华为的ensp进行模......
rsyslog收集华为路由器日志通过ELK处理展示
ledrsnet的博客
08-25 3440
一、工具简介 rsyslog https://www.rsyslog.com/ rsyslog 提供高性能,高安全性功能和模块化设计。 虽然它最初是作为常规系统日志开发的,但是 rsyslog 已经发展成为一种瑞士军刀,可以接受来自各种来源的输入,转换它们,并将结果输出到不同的目的地。 当应用有限的处理时,RSYSLOG 每秒可以向本地目的地传送超过一百万条消息。即使有远程目的地和更复杂的处理,性能通常被认为是“惊人的”。在 centos 6 及之前的版本叫做 syslog,centos 7 开始叫做 r
Rsyslog采集linux日志及转发到Logstash
xuexin736的博客
05-05 5282
最新要做一个对Linux系统日志采集的需求,当然除了Linux的系统日志采集外,还需要转发Tomcat日志,或者Nginx日志等。所以就使用rsyslog这个比较常用并且功能比较强大的工具。版本:Rsyslog V5Logstash 5.2.2一、就不做过多的介绍了直接贴测试通过的rsyslog.conf配置文件该配置文件的目录为:/etc/rsyslog.conf# rsyslog v5 co...
logstash结合rsyslog,收集系统日志
热门推荐
sdlyjzh的专栏
11-06 1万+
rsyslog日志收集工具,现在很多Linux都自带rsyslog,用其替换掉syslog。如何安装rsyslog就不讲了,大概讲下原理,然后讲logstash的相关配置。 rsyslog本身有一个配置文件 /etc/rsyslog.conf,里面定义了日志文件,以及相应保存的地址,以下述语句为例: local7.*
ELK实战-Logstash:收集rsyslog日志
K_Zombie的博客
04-15 1万+
概述本文主要是展示将logstash作为rsyslog服务器,并收集远程的rsyslog日志。本文阅读的基础建立在: * 了解rsyslog服务器,或者阅读rsyslog日志服务器-日志写入远端rsyslog服务器 * 对ELK有初步的了解,并有体验过ELK进行日志收集,或者阅读ELK:环境搭建&初体验测试环境2个CentOS7系统: ELK服务器 rsyslog客户端 实战logstash配置
centos7,客户端使用rsyslog进行日志传输,服务端使用logstash收集
qq_40673345的博客
01-06 1202
客户端配置rsyslog(centos自带rsyslog,不需要另外下载) vim /etc/rsyslog.conf #### MODULES #### $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides ...
Linux日志管理
Y_Prodigal的博客
04-27 972
日志管理
rsyslog发送日志logstash收集
gaoxiang2005的博客
11-19 3465
将以下配置项添加到/etc/rsyslog.conf最后,其中10.16.15.154:5555和6666为logstash地址###########To Logcenter################## $ModLoad imfile $MaxMessageSize 64k $ActionResumeInterval 5$InputFileName /app/insts/inst1/
配置rsysloglogstash_logstash 使用rsyslog输入日志
weixin_39605835的博客
12-20 429
系统: centos6.5logstash:2.4.1修改rsyslog配置文件,这里我以本机做测试[[emailprotected]~]$sudovim/etc/rsyslog.conf*.*@@127.0.0.1:514#最后一行增加[[emailprotected]~]$sudo/etc/init.d/rsyslogrestart#重启rsyslog...
Beats:使用 Linux 系统上的 Rsyslog 收集日志并导入 Elasticsearch
Elastic 中国社区官方博客
07-30 3789
在我之前的文章: Beats:Beats 入门教程 (一) Beats:Beats 入门教程 (二) 我详述了如何使用 Filebeat 中的 system 模块来为 syslog 导入到 Elasticsearch。这是目前为止最为快捷的方法。在实际的使用中,我们也可以使用其它来导入 syslog。这里的方法是: 使用 Filebeat 中的 syslog input 使用 Logstash 导入 在今天的文章中,我将详述如何配置 Rsyslog 把数据导入到 Elasticsearch .
统信uos配置rsyslog日志转发kafka
weixin_43315470的博客
08-03 1986
统信uos使用的是arm64位的cpu,自带的rsyslog不是v8版本的,需要将rsyslog升级到v8版本,离线安装升级需要下载相应的deb安装包。文件夹下的查看是否有omkafka.os文件,如果没有需要安装rsyslog-kafka插件,安装离线kafka插件时需要注意依赖问题,例如:libc6的版本。安装完成后再次查看是否有omkafka.os文件,该文件是rsyslog日志能否转发到kafka的关健。安装完毕后,编辑rsyslog的配置文件。配置完成后按ESC退出,:wq保存。...
配置rsyslog
weixin_34357928的博客
11-14 177
什么是日志文件系统?记录系统在什么时候由哪个进程做了什么行为时,发生了何种的事件等。centos提供rsyslogd这个服务来统一管理日志文件。rsyslog的配置文件/etc/rsyslog.conf,此文件规定了什么服务的什么等级信息以及需要被记录在哪里。1.服务名称authpriv 与认证有关的机制cron 列行性工作调度daemon 与各个daemon有关...
Linux日志服务rsyslog深度解析(下)
博客虽小,世界尽在其中
06-08 2682
本文深入探讨了Linux系统中重要的日志服务工具rsyslog的应用与配置。首先,我们简要介绍了rsyslog在Linux日志管理中的重要地位,以及它如何帮助系统管理员有效地收集、过滤和存储日志信息。接着,文章详细阐述了rsyslog的基本配置方法,包括如何设置日志消息的接收、过滤和转发规则,以满足不同应用场景的需求。 随后,我们深入讲解了rsyslog的远程存储功能,包括如何将日志消息存储到数据库(如MySQL)和消息队列(如Kafka)等远程服务中。在这部分,我们介绍了如何安装必要的驱动模块、配置rsy
rsyslogd配置分析
Kami_Jiang的博客
04-23 999
简单 分析下 rsyslogd配置 和 logrotate
rsyslog日志平台--日志工作流引擎
三禾工作室
01-28 7362
Linux下面自然的选择是rsyslog 一、基本配置实验 网上大量文章都不是很靠谱,测试平台CentOS7和loongxin系统,服务端为192.168.10.58(centos),客户端为192.168.14.211(loongson) 1. 客户端配置:客户端修改 /etc/rsyslog.conf 把尾部#*.* @@remote-host:514删除#,并把@@替换为@,remote-host替换为日志服务器主机IP即可; *.* @192.168.10.58:514 #UDP
Linux系统日志管理-- rsyslog
weixin_44705391的博客
03-06 6125
rsyslog
rsyslog 8.2112 发送指定的日志文件到rsyslog日志服务器
最新发布
03-14
### 配置 Rsyslog 将特定日志文件转发至远程服务器 为了实现将来自不同端口的日志消息分类处理并转发到远程 rsyslog 服务,在 `/etc/rsyslog.conf` 或者 `/etc/rsyslog.d/` 下创建一个新的配置文件中加入如下所示的内容: 对于版本8.2112的rsyslog,可以利用模块加载功能以及条件语句来完成复杂的需求。首先确保启用了网络支持以便能够向远端发送数据。 ```bash module(load="imtcp") # 加载TCP输入插件 input(type="imtcp" port="10514") # 定义第一个监听器及其端口号 input(type="imtcp" port="10515") # 第二个监听器定义 input(type="imtcp" port="10516") # 第三个监听器定义, 特殊情况下的端口 ``` 针对特殊需求——即仅当接收到的消息来源于10516端口且具有 `mail.*` 的设施级别时将其单独保存到指定位置,则可以通过以下方式设置动作规则: ```bash if ($port == "10516" and $syslogfacility-text == 'mail') then { action( type="omfile" file="/var/log/mail-special.log" ) } ``` 上述命令会检查传入连接是否来自于设定好的端口并且匹配相应的设施名称;如果满足条件则执行大括号内的操作,这里是指定要记录的位置为 `/var/log/mail-special.log`. 接着,为了让其他非邮件类别的日志也得到适当处理,还需要继续添加一般性的转发指令: ```bash *.* @remote-server-ip:port;RSYSLOG_SyslogProtocol23Format # 使用UDP协议传输给远程主机 # 或者使用下述更安全的方式通过TLS加密通道传送 *.* @@remote-server-ip:port;RSYSLOG_SyslogProtocol23Format ``` 注意这里的区别在于单个 '@' 表示采用 UDP 协议而双 '@' 则意味着 TCP 连接。最后面的部分指定了所使用的格式化模板,这有助于保持兼容性和一致性[^1]。 一旦完成了以上更改之后,请记得重启 rsyslog 服务使新的配置生效,并验证其工作状态以确认一切正常运行。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值