rsyslog日志管理

已于 2024-05-08 08:38:37 修改
阅读量391 收藏
点赞数
文章标签: linux 运维
于 2023-05-30 14:12:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43387234/article/details/130844970
版权
文章介绍了rsyslog的配置,包括设施和优先级,配置文件路径,全局指令,模板,输出通道和规则设置。讲解了日志记录的规则配置,如facility.priority目标,以及各种日志路径和功能,如/var/log/secure,/var/log/messages等。此外,还提到了journalctl的常用命令用于查看和管理日志。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

rsyslog配置介绍

  • facility:设施,从功能或程序上对日志进行归类
    auth,authpriv,cron,daemon,ftp,kern,lpr,mail,news,user,uucp,local0-local7,syslog
  • Priority 优先级别,从低到高排序
    debug,info,notice,warn,err,crit,alert,emerg
  • 配置文件路径
    主配置文件:/etc/rsyslog.conf
    从配置文件:/etc/rsyslog.d/*.conf
  • 配置文件格式
    Global directives:设置rsyslog全局属性,加载相关模块
    Templates:指定日志格式,在rules中引用
    Output Channels:提供多种类型的输出通道,在rules中引用
    RULES(selector + action):日志记录相关的规则配置
  • RULES配置说明

RULES配置格式:facility.priority;facility.priority…… target
facility:
” :所有级别
none:没有级别,即不记录
priority:指定级别(含)以上的所有级别
=priority:仅记录指定级别的日志信息
target:
文件路径:通常在/var/log目录下,文件路径前的“-”表示异步写入
用户:将日志事件通知给指定的用户,“”表示登陆的所有用户
日志服务器:@host,把日志送往指定的远程服务器
管道:|command,转发给其他命令处理

  • 常用日志格式
    产生日志的日期 时间 主机 进程(PID):事件内容
  • 系统常用日志介绍

主机日志管理

主机常用日志

日志路径功能相关命令
/var/log/secure系统安装与认证相关日志,文本格式
/var/log/btmp用户失败尝试登陆相关日志,二进制格式lastb
/var/log/wtmp当前系统上,用户正常登陆的县官日志信息,二进制格式last
/var/log/lastlog每一个用户最近一次的登陆信息,二进制格式lastlog
/var/log/dmesg系统引导过程中的日志信息,文本格式dmesg
/var/log/messages系统中大部分日志信息,文本格式
/var/log/anaconda计划任务日志,文本格式

journalctl常见用法

  • journalctl 查看所有日志,默认情况下,只保存本次启动的日志

  • jounalctl -k 查看内核日志(不显示应用日志)

  • journalctl -b 查看本次启动的日志

  • journalctl --since=“2023-05-01 13:00:00”
    –since “20 min ago”
    –since yesterday
    –since 09:00 --until “1 hour ago”
    查看指定时间日志

  • journalctl -n 20 显示尾部指定行数日志

  • journalctl -f 实时滚动显示最新日志

  • journalctl _PID=222 显示指定进程的日志

  • journalctl -u nginx 查看指定服务的日志

rsyslog配置文件

[root@han ~]# egrep -v "^$|^#" /etc/rsyslog.conf 
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$ModLoad imudp
$UDPServerRun 514	#开启udp514端口,接收客户端日志
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
local6.*                                                /var/log/ssh.log
*.*							@192.168.1.1   #把日志发送到源端服务器
$ModLoad imfile		#日志日志格式为文本格式
$InputFilePollInterval 5
$InputFileName /home/access.log		#自定义日志格式文件路径
$InputFileTag Nginx:
$InputFileStateFile nginx_state.file
$InputFileSeverity debug
$InputFileFacility local0
$InputRunFileMonitor 
[root@han ~]#
Rsyslog日志的类型和级别
小憩予树
06-04 8809
Rsyslog日志级别:(从上到下级别越来越高) 7 debug 调试信息的日志日志信息最多 6 info 一般信息的日志,最常用 5 notice 最具有重要性的普通条件的信息 4 warning
日志管理rsyslog
szb521的博客
08-31 381
日志管理rsyslog
rsyslog日志服务管理及实验
jeker的博客
01-01 887
#课文内容 ##系统日志管理 ###系统日志介绍 ###sysklogd 系统日志服务 ###rsyslog 系统日志服务 ###ELK ##rsys日志管理 ###系统日志术语 ###rsyslog相关文件 ###rsyslog配置文件 ###启用网络日志服务 ###常见日志文件 ##日志管理工具journalctl #课文实验 ##实验内容:利用mysql存储日志实验 ###目标 ###环境准...
Linux日志管理rsyslog系统日志和logrotate日志轮转)
乐柚的博客
08-07 1268
Linux日志管理rsyslog系统日志和logrotate日志轮转) 一、rsyslog系统日志管理 系统中的绝大多数日志文件是由 rsyslogd 服务来统一管理的,只要各个进程将信息给予这个服务,它就会自动地把日志按照特定的格式记录到不同的日志文件中。 观察rsyslogd程序,可以看出此服务正在运行。 常见的系统日志文件如图 1. 网站日志管理示例: 安装软件 虚拟机网络切换为桥接模式 重启网络 观察日志 查看ip 并打开网页浏览此ip地址 观察发现日志更新 2.rsyslogd配
rsyslog 日志管理服务
qfxulei的博客
08-04 711
一:日志的重要性 日志分类:系统日志,进程日志,应用程序日志 记录日志的用处: 排错,追溯事件,统计流量,审计安全行为 rsyslogd:只负责绝大部分日志记录,和系统操作有关,安全,认证,计划任务... 处理分析日志: 1.少量日志使用vim cat tail grep awk这些文档处理程序查看和检索 2.大量日志可以用splunk、elk 日志存放位置: 存放本地 /var/log 日志服务启动:systemctl start rsyslog 日志配置文件:/etc/rsyslog.
日志管理 —— rsyslog 系统日志管理 logrotate 日志轮转
weixin_46687989的博客
08-06 858
一、rsyslog系统日志管理 1、关心问题:哪类程序---》 产生的什么日志----》 放到什么地方 2、处理日志的进程 (1) 第一类: rsyslogd: 系统专职日志程序。处理绝大部分日志记录, 系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息 (2) 第二类: httpd/nginx/mysql: 各类应用程序,可以以自己的方式记录日志. 3、观察 rsyslogd程序 [root@localho...
Linuxrsyslog日志管理及logrotate日志轮转
Charon9688的博客
03-01 1209
一、rsyslog日志管理 rsyslogd: 系统专职日志程序。 功能:处理绝大部分日志记录,系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息。 1.rsyslogd配置 相关程序:yum install rsyslog(默认已安装) 启动程序:systemctl start rsyslog.service 重启程序:systemctl restart rsyslog 查...
系统日志管理——rsyslog
dodobibibi的博客
10-16 771
系统的日志管理 cat /var/log/messages 查看日志 rsyslog.service 采集日志服务 自动默认放在/var/log/messages中 54 60 57 64 信息日志 邮件信息 服务信息 定时信息有各自的地方 *.*所有级别的所有日志 debug 开发调试程序 日志级别低 显示的多详细 ...
Linux】18_日志管理rsyslog系统日志管理
weixin_43498449的博客
01-27 1062
关心问题:哪类日志 ----->产生什么样的日志------>放到什么地方 处理日志进程 第一类: rsyslogd:系统专职日志程序,处理绝大部分日志记录。系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息 第二类: httpd/nginx/mysql等各类应用程序,可以以自己的方式记录日志 常见的日志文件(系统、进程、应用程序) 了解部分 rsyslogd配置 ①安装相关程序: yum install rsyslog logrotate ②启动程序:
linuxrsyslog日志服务(配置,测试、日志转储)
qq_43331089的博客
09-09 7959
Rsyslog的全称是,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日 志消息。
rsyslog-日志管理 logrotate-日志轮转
XiaoLinZuoTi的博客
09-12 497
日志的管理的方式,以及怎么自己写一个管理日志的小脚本,其实也不能算脚本
rsyslog日志级别以及自定义日志文件的设置方法
热门推荐
Tatajizhi的专栏
09-22 1万+
最新的操作系统
linux学习15】日志管理rsyslog、logrotate介绍
葫芦娃y的博客
04-03 595
linux学习15】日志管理rsyslog、logrotate介绍
安装、配置rsyslog日志服务器
ly4983的专栏
06-28 5621
v /path/to/your/syslog-ng.conf:/etc/syslog-ng/syslog-ng.conf: 将宿主机上的Syslog-ng配置文件映射到容器内部,用于自定义Syslog-ng的行为。-p 601:601: 将容器的601端口(TCP协议)映射到宿主机的601端口,也是用于接收Syslog消息,但是通过TCP。-p 514:514/udp: 将容器的514端口(UDP协议)映射到宿主机的514端口,用于接收Syslog消息。image: 指定使用的Docker镜像。
syslog的日志过滤规则和转发配置
互联网知识分享
12-11 1338
当配置syslog的日志过滤规则时,可以根据不同的设备或应用程序、日志消息的严重程度以及产生日志的主机名称等条件进行过滤。例如,对于安全相关的日志,可以将auth、authpriv等设施的日志消息设置为较高的严重程度,以便及时发现和处理安全事件。总的来说,syslog提供了丰富的日志过滤规则和转发配置选项,可以根据实际需求对日志进行灵活的管理和处理。在以上示例中,使用了不同的转发规则对日志进行了传输和处理,可以根据实际需求来配置不同的转发规则,例如将日志发送到远程服务器、写入本地文件或执行特定的命令等。
rsyslog日志级别 配置日志输出级别
河静
12-24 4774
日志级别如下: 等级数值 等级名称 说明 7 debug 调试程序产生的的日志 6 info 基本信息说明,无伤大雅 5 notice 虽然是正常信息,但比info还需要被注意到的一些信息内容 4 warning(warn) 警示的信息,可能有问题,但是还不至于影响某个daemon的运行。基本上info、notice、warning这三个等级没啥事,就是告诉你一些基本信息 3 err(error) 一些重大的错误信息,比如配置文件写错导致daemon无法启动,通常可以根据er
rSyslog日志
DM的个人练习
07-11 1972
rsyslog
rsyslog 日志收集机制
最新发布
04-28
<think>好的,我现在需要帮助用户了解rsyslog日志收集机制和工作原理,包括配置方法。首先,我要回忆一下rsyslog的基本知识。rsyslog是一个强大的日志处理系统,相比传统的syslogd,它支持更多高级功能,比如模块化、多种协议和日志过滤等。用户提到了引用中的内容,比如facility、priority以及日志轮替机制,这些都需要在回答中涉及。 用户的问题包括日志收集机制、工作原理和配置。我应该分这三个部分来组织回答。首先,日志收集机制可能涉及输入模块,比如imuxsock、imklog、imfile,这些在引用[3]中提到的日志服务配置文件可能相关。需要解释facility和priority的概念,如引用[1]所说,设施和优先级的结构,以及通配符的使用。 然后是工作原理,这部分需要描述rsyslog如何处理日志,从接收、过滤到输出。可能涉及到规则集、过滤条件和输出模块。引用[2]提到rsyslog的高性能和复杂处理规则,应该强调其多线程和队列管理,以及支持TCP、RELP等协议,确保可靠传输。 配置部分需要给出具体的配置示例,比如如何定义facility和priority,如何设置转发到远程服务器,以及日志文件的存储路径。可能还要提到日志轮替,引用[3]中的logrotate和定时任务机制,说明如何自动备份和压缩日志。 还需要检查是否需要引用用户提供的引用内容。例如,在解释facility时,引用[1]中的内容,说明设施和优先级的结构。在讨论日志轮替时,引用[3]中的cron.daily和logrotate。同时,引用[2]可以用来对比rsyslog和syslogd的特点,突出rsyslog的优势。 用户可能的问题包括如何配置远程日志转发、如何处理大量日志、如何优化性能等。生成相关问题的时候需要考虑这些方面,比如配置语法、日志过滤、性能优化方法、安全传输等。 需要确保回答结构清晰,使用正确的LaTeX格式,比如行内变量用$...$,独立公式用$$...$$,但根据用户的问题,可能数学公式较少,但如果有示例配置中的优先级表达式,可能需要使用。例如,mail.info表示设施mail,优先级info及以上,用$mail.info$格式。 最后,验证配置是否正确的部分需要指导用户使用logger命令测试,并检查日志文件,或者使用journalctl查看内存日志,如引用[3]中的journalctl命令示例。 总结回答的结构:分为收集机制、工作原理、配置方法、验证配置和日志轮替几个部分,每个部分结合引用内容,最后生成相关问题。确保语言简洁,符合中文习惯,避免技术术语不解释的情况,同时保持专业性和准确性。</think>### rsyslog日志收集机制与工作原理详解 #### 一、日志收集机制 rsyslog通过**模块化架构**实现日志收集,核心组件包括: 1. **输入模块**:负责接收日志来源 - `imuxsock`:监听本地syslog socket(如`/dev/log`) - `imklog`:收集内核日志 - `imfile`:监控文本文件(适合采集应用程序日志)[^3] 2. **Facility与Priority机制** - 设施(Facility)定义日志来源类型,例如:$mail$(邮件服务)、$authpriv$(安全认证) - 优先级(Priority)分8级:$debug < info < notice < warning < err < crit < alert < emerg$ - 组合语法:$facility.priority$,如`mail.*`表示邮件服务的所有级别日志[^1] #### 二、工作原理流程 $$ \begin{aligned} &\text{日志输入} \rightarrow \text{过滤处理} \rightarrow \text{输出目标} \\ &\downarrow \quad \quad \quad \ \ \downarrow \quad \quad \quad \ \ \downarrow \\ &\text{模块采集} \rightarrow \text{规则集匹配} \rightarrow \text{文件/数据库/远程服务器} \end{aligned} $$ 1. **多线程处理**:采用生产者-消费者模型,支持异步队列提升吞吐量[^2] 2. **规则配置**: ```bash # 语法示例 facility.priority action *.* /var/log/all.log # 全量日志 authpriv.* @192.168.1.100:514 # 转发到远程服务器 ``` #### 三、配置方法示例 1. **基础配置**(`/etc/rsyslog.conf`) ```bash # 启用TCP/UDP监听 module(load="imtcp") input(type="imtcp" port="514") # 定义日志存储规则 local7.* /var/log/boot.log *.emerg :omusrmsg:* # 发送紧急消息给所有登录用户 ``` 2. **远程转发配置** ```bash # 转发到中央日志服务器 *.* @@(z9)192.168.1.200:10514 # 使用RELP协议传输 ``` 3. **模板定制** ```bash template(name="MyFormat" type="string" string="%TIMESTAMP% %HOSTNAME% %syslogtag% %msg%\n") action(type="omfile" file="/var/log/custom.log" template="MyFormat") ``` #### 四、验证配置 ```bash # 发送测试日志 logger -p local3.info "测试日志内容" # 查看日志文件 tail -f /var/log/syslog # 或检查内存日志 journalctl -n 3 --since "10:00" # 引用[3]方法 ``` #### 五、日志轮替机制 通过`logrotate`实现自动管理: ```bash # /etc/logrotate.d/rsyslog /var/log/syslog { daily rotate 7 compress delaycompress missingok postrotate /usr/lib/rsyslog/rsyslog-rotate endscript } ``` 依赖`cron.daily`定时任务执行轮替[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

韩华盛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值