linux 日志推送,Linux history记录发送到syslog日志

最新推荐文章于 2024-09-11 11:00:10 发布
最新推荐文章于 2024-09-11 11:00:10 发布
阅读量1.6k 收藏 2
点赞数
文章标签: linux 日志推送

常用的shell有bash和csh,而history记录中,bash默认是不带命令操作时间的,csh带有记录时间,可以通过变量修改,查看历史命令的执行时间,不过history记录默认只保存1000条。想要所有的命令都进行命令,最好是将其保存到日志记录中。所以可以通过一些变量配置,配合logger发送给syslog进行保存。

一、bash shell设置

修改/etc/bashrc文件(SUSE下是/etc/bash.bashrc),增加如下内容:

PROMPT_COMMAND=$(history -a)

typeset -r PROMPT_COMMAND

function log2syslog

{

declare command

command=$BASH_COMMAND

#logger -p local1.notice -t bash -i -- $SSH_CONNECTION : $USER : $PWD : $command

logger -p local1.notice -t bash -i -- `echo $SSH_CLIENT|awk '{print $1}'` : $USER : $PWD : $command

}

trap log2syslog DEBUG

重新登陆后,所有的操作,都会在messages日志里保存,类似如下:

Jun 01 17:29:28 localhost bash[39095]: 10.212.143.73 : root : /root : ls --color=auto /var/log/messages

Jun 01 17:29:30 localhost bash[39132]: 10.212.143.73 : root : /root : vim /var/log/messages

Jun 01 17:29:45 localhost bash[39217]: 10.212.143.73 : root : /root : tail -2 /var/log/messages

Jun 01 17:29:50 localhost bash[39242]: 10.212.143.73 : root : /root : tail -5 /var/log/messages

不过上面的方法配置的时候,当使用rm进行删除操作时,使用的通配符会被转化为实际的名称,比如我使用rm -rf yum*,实际在日志中显示是:

rm -i -rf yum_save_tx.2019-05-20.06-00.6V7vWG.yumtx yum_save_tx.2019-05-20.06-00.XzlQAH.yumtx yum_

save_tx.2019-05-20.06-01.2KSPSS.yumtx yum_save_tx.2019-05-21.06-00.lyLtKt.yumtx yum_save_tx.2019-05-21.06-01.BrmpWA.yumtx yum_save_tx.2019-05-21.06-01.vQiTY8.yumtx yum

_save_tx.2019-05-22.06-00.kJv5it.yumtx yum_save_tx.2019-05-22.06-01.CkT5zP.yumtx yum_save_tx.2019-05-22.06-01.jsqrkw.yumtx yum_save_tx.2019-05-22.06-01.URz26T.yumtx yu

m_save_tx.2019-05-23.06-00.hM1irq.yumtx yum_save_tx.2019-05-23.06-01.VgeBd4.yumtx yum_save_tx.2019-05-23.06-01.YrZOrh.yumtx yum_save_tx.2019-05-24.06-01._uAjWZ.yumtx y

um_save_tx.2019-05-24.06-02.rasDiC.yumtx yum_save_tx.2019-05-24.06-02.Wo1r9T.yumtx yum_save_tx.2019-05-25.06-03.48Epkl.yumtx yum_save_tx.2019-05-25.06-04.F2o_9F.yumtx

yum_save_tx.2019-05-25.06-04.UeG1es.yumtx

这个有好处也有坏处,比如你在一个目录下,删除1万个文件,这些文件会在日志里有记录,不过日志文件会搞的比较大。

除了下面的操作方法,也可以通过配置PROMPT_COMMAND环境变量,配合tee进行实现:

PROMPT_COMMAND='history -a >(tee -a ~/.bash_history | logger -t "$USER[$$] $SSH_CONNECTION")'

更有甚者会通过修改bash源码,给其上一个patch,让其支持转存到log文件。具体可以参看:https://github.com/iamseth/bash-syslog

最终我使用的内容是:export PROMPT_COMMAND='msg=$(history 1 | { read x y; echo "$y"; }); logger -t user_cmd "${msg} by $USER from $SSH_CLIENT" >/dev/null'

二、csh设置

csh下有precmd 变量,可以修改其值,让其记将记录信息发送给log,增加/etc/profile.d/histroy.csh文件(必须以csh结尾,cshrc默认会在该位置找csh结尾的文件):

[root@localhost ~]# more /etc/profile.d/histroy.csh

alias precmd 'eval logger -p local5.info "CMDLOG PWD=$PWD \; USER=$USER \; COMMAND=\`history -h 1\`"'

不过上面的语句在使用时会出现rm 删除多个文件时异常的问题。所以优化后的结果是:

alias precmd 'set msg = `history -h 1` ; logger -t $REMOTEHOST $USER user_cmd "${msg} pwd $PWD" >/dev/null'

三、ksh设置

修改/etc/kshrc(redhat) 或 /etc/ksh.kshrc(SUSE,其实该文件是软链接的/etc/bash.bashrc) ,增加如下内容:

export PROMPT_COMMAND='msg=$(history 1 | { read x y; echo "$y"; });loginuser=$(who am i); logger -t user_cmd "${msg} by $USER from [$loginuser]" >/dev/null'

四、history自身记录

由于csh默认是有date +%s这样的信息在命令运行记录上(具体看.hisotry文件),bash默认在.bash_history上是没有时间记录的,所以可以使用/etc/profile或/etc/bashrc、/etc/bash.bashrc文件,增加如下内容:

HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S "

export HISTTIMEFORMAT

五、history配置记录小结

这里以SUSE为例吧,我上面使用$USER $PWD $REMOTE $CLIENT这样的变量,实际上也可以自定义变更,然后在logger的时候调用,具体如下:

bash.bashrc:export PROMPT_COMMAND='msg=$(history 1 | { read x y; echo "$y"; });user=$(whoami);loginuser=$(who am i); logger -t user_cmd "${msg} by ${user} from [$loginuser]"'

csh.cshrc.local:alias precmd 'set msg = `history 1|cut -f3-|sed -e "s|{||g" | sed -e "s|}||g"` ; set user = `whoami` ; set loginuser = `who am i`; logger -t user_cmd "${msg} by ${user} from [$loginuser]" >/dev/null'

ksh.kshrc:export PROMPT_COMMAND='msg=$(history 1 | { read x y; echo "$y"; });user=$(whoami);loginuser=$(who am i); logger -t user_cmd "${msg} by ${user} from [$loginuser]"'

六、syslog配置

由于使用logger的时候,可以使用logger -p local1.notice 这样的参数指定日志级别,所以也可以在/etc/syslog.conf 或 /etc/rsyslog.conf 文件中指定此类日志的具体存放路径,配置如下:

local1.notice /var/log/history.log、

配置完成后,重启日志服务生效

# service syslog restart

# service rsyslog restart

如果是使用的syslog-ng,也可以通过如下过滤器,将日志过滤出来,再配合destination 、log 进行保存:

filter f_messages {

level(notice)

and facility(local1);

};

syslog-ng配置具体可以参考:https://github.com/balabit/syslog-ng-3.5/blob/master/debian/syslog-ng.conf

参考页面:https://access.redhat.com/solutions/296363 (里面logger部分写的不正确,官文文档也有不对的地方)

公周
关注
大佬告诉你用这套轻量日志收集方案 再见笨重的ELK
mid56579的博客
07-20 880
简介 LPG日志收集方案内存占用很少,经济且高效!它不像ELK日志系统那样为日志建立索引,而是为每个日志流设置一组标签。下面分别介绍下它的核心组件: Promtail:日志收集器,有点像Filebeat,可以收集日志文件中的日志,并把收集到的数据推送到Loki中去。 Loki:聚合并存储日志数据,可以作为Grafana的数据源,为Grafana提供可视化数据。 Grafana:从Loki中获取日志信息,进行可视化展示。 安装 实现这套日志收集方案需要安装Loki、Promtail、Grafa
再见笨重的ELK!这套轻量日志收集方案要火!
ITGENIUS1的博客
07-24 472
摘要 之前一直使用的日志收集方案ELK,动辄占用几个G的内存,有些配置不好的服务器有点顶不住!最近发现一套轻量日志收集方案: Loki+Promtail+Grafana(简称LPG), 几百M内存就够了,而且界面也挺不错的,推荐给大家! 简介 LPG日志收集方案内存占用很少,经济且高效!它不像ELK日志系统那样为日志建立索引,而是为每个日志流设置一组标签。下面分别介绍下它的核心组件: Promtail:日志收集器,有点像Filebeat,可以收集日志文件中的日志,并把收集到的数据推送到Loki中去。
一种轻量日志采集解决方案
cz1803472613的博客
04-16 1367
目前各大公司生产部署很多都是采用的集群+微服务的部署方式,如果让日志散落在各个主机上,查询起来会非常的困难,所以目前我了解到的都是采用的日志中心来统一收集管控日志日志中心的实现方案大多基于ELK(即Elasticsearch、Logstash和Kibana三个开源软件的缩写),ELK一般都要配合FileBeat使用,其中FileBeat做为采集器,Logstash做为日志过滤格式化工具、Elasticsearch做为存储介质、Kibana做为视图解析器,四个组件搭配组成日志中心。
容器内应用日志收集方案
Rancher
12-16 2030
原文来源:Rancher Labs容器化应用日志收集挑战应用日志收集、分析和监控是日常运维工作重要的部分,妥善地处理应用日志收集往往是应用容器化重要的一个课题。Docker处理日志的方法是通过docker engine捕捉每一个容器进程的STDOUT和STDERR,通过为contrainer制定不同log driver 来实现容器日志收集,缺省json-file log driver是将容器的S
EFK部署方案-20230112-v1.0.docx
02-03
EFK部署方案是一种广泛采用的日志管理解决方案,由Elasticsearch、FileBeat和Kibana三个开源组件组成。这套系统提供了高效、灵活的日志收集、存储、搜索和可视化功能,适用于各种规模的企业和项目。 **1. Elastic...
kubernetes日志采集方案EFK
总结、分享、交流
06-28 2841
https://www.qikqiak.com/post/install-efk-stack-on-k8s/ EFK简介 Kubernetes中比较流行的日志收集解决方案是Elasticsearch、Fluentd 和 Kibana(EFK)技术栈,也是官方现在比较推荐的一种方案。 Elasticsearch是一个实时的、分布式的可扩展的搜索引擎,允许进行全文、结构化搜索,它通常用于索引和搜索大量...
grafana-loki搭建类似ELK/EFK轻量日志监控系统
懒懒的树懒熊
01-08 2253
loki进行日志聚合处理 类似elk中的es promtail是日志收集,类似elk中的logstash filebeat等,如果是只收集docker容器的日志则可以用loki的docker plugin替代 grafana是日志显示,类似elk中的kibana,可以通过各种标签和表达式过滤显示日志 一、采用docker-compose部署Loki、grafana、promtail version: "3" networks: loki: services: loki: ima.
K8s中EFK日志采集部署
最新发布
qianshang666的博客
09-11 1447
Kubernetes 集群作为一个整体,我们需要统一收集日志。但是 Kubernetes 并不提供任何日志收集功能,因此您需要设置一个集中的日志后端
运维-6-采用LPG搭建轻量日志收集系统
qq_20466211的博客
07-29 1200
LPG(Loki+Promtail+Grafana)通用的可视化工具grafana安装配置
filebeat 6.3.0 轻量日志采集器
09-24
filebeat 6.3.0 轻量日志采集器 当您要面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志时,请告别 SSH 吧。Filebeat 将为您提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂
EFK日志收集系统
qq_35886593的博客
10-31 564
1、史上EFK日志系统最全教程-安装及配置:https://blog.youkuaiyun.com/anxianfeng55555/article/details/81325254 2、centos7搭建EFK日志分析系统:https://www.jianshu.com/p/4bf5a8b743d2
流处理利器:Flowgger——高效轻量日志收集解决方案
gitblog_00891的博客
09-05 479
流处理利器:Flowgger——高效轻量日志收集解决方案 项目地址:https://gitcode.com/gh_mirrors/fl/flowgger 在追求数据实时处理和分析的今天,有效的日志收集系统成为了不可或缺的技术支柱。今天,让我们一同探索一个由AWS Labs孵化的杰出项目——Flowgger,它以颠覆性的性能和简洁的设计重新定义了日志收集的新标准。 项目介绍 Flowgger,一款...
利用EFK日志进行采集
这人脑子有点不够用
04-20 757
配置完成后将项目打包进行发布,可以先测试一下查看你的logs里时候生成了日志,或者查看日志是否正确,然后访问。your Ip:5601 界面。配置完成后在文件所在目录下执行。然后配置我们的项目日志配置。
轻量日志收集技术方案
weixin_34203426的博客
11-28 772
2019独角兽企业重金招聘Python工程师标准>>> ...
EFK日志收集 【初步概览】
qq_34819372的博客
11-30 692
引用自官网 https://www.elastic.co/cn/products
EFK日志解决方案部署指南
FileBeat作为Beats家族的一员,专门负责日志数据的收集,它轻量级且易于配置,可以从各种日志源获取数据。Kibana则是一个用户界面工具,用于展示和分析来自Elasticsearch的数据,提供了友好的Web界面,方便用户对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值