Rsyslog 詳解
日常工作中,常遇到些問題,會查看Linux的系統日志,日志多種多樣,boot.log, messages, auth.log, syslog等等,但每次出現問題總是憑借直覺和經驗去一個一個翻,是下下策。搭建ELK,或者Graylog等日志分析系統也是極好的,但是體積太大了,需要考慮和維護的東西也就更多。故而通過一些更輕量級的配置,加上自己的一些理解分析,想實現一套日志分析系統。而針對系統模塊的日志,首當其沖的是要搞定rsyslog。
以下主要是針對rsyslog配置的講解。
日志整理
對日志進行分析,首先第一步要規整日志。
/etc/rsyslog.conf是rsyslog服務的總配置文件/etc/rsyslog.d該目錄是單獨配置的rsyslog配置文件
vim /etc/rsyslog.conf
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf
# 個人建議,將所有的rule都配置在該目錄下,在/etc/rsyslog.conf中不寫rule
日志類別
-
系統日志
- 通過修改/etc/rsyslog.conf以及/etc/rsyslog.d/xxx.conf,來控制各種日志的輸出
日志類型 日志內容 auth 用戶認證時產生的日志 authpriv ssh、ftp等登錄信息的驗證信息 daemon 一些守護進程產生的日志 ftp FTP產生的日志 lpr 打印相關活動 mark 服務內部的信息,時間標識 news 網絡新聞傳輸協議(nntp)產生的消息。 syslog 系統日志 security uucp Unix-to-Unix Copy 兩個unix之間的相關通信 console 針對系統控制台的消息。 cron 系統執行定時任務產生的日志。 kern 系統內核日志 local0~local7 自定義程序使用 mail 郵件日志 user 用戶進程 Note: 不建議使用關鍵字 security,並且 mark僅供內部使用,因此不應在應用程序中使用
日志等級 說明 7 emerg 緊急情況,系統不可用(例如系統崩潰),一般會通知所有用戶。 6 alert 需要立即修復的告警。 5 crit 危險情況,例如硬盤錯誤,可能會阻礙程序的部分功能。 4 error/err 一般錯誤消息。 3 warning/warn 警告。 2 notice 不是錯誤,但是可能需要處理。 1 info 通用性消息,一般用來提供有用信息。 0 debug 調試程序產生的信息。 none 沒有優先級,不記錄任何日志消息。
結合使用的 rule 示例(懶人福利,CV大法,即粘即用)
# 記錄mail日志等級為error及以上日志 mail.err /var/log/mail_err.log # 記錄mail所有等級為warn級別的日志(僅記錄warn級別) mail.=warn /var/log/mail_err.log # 記錄kern所有日志 kern.* /var/log/kern.log # 將mail的所有信息,除了info以外,其他的都寫入/var/adm/mail mail.*;mail.!=info /var/adm/mail # 將日志等級為crit或更高的內核消息定向到遠程主機finlandia # 如果主機崩潰,磁盤出現不可修復的錯誤,可能無法讀取存儲的消息。如果有日志在遠程主機上,可以嘗試找出崩潰的原因。 kern.crit @finlandia # 記錄所有類型的warning等級及以上日志 *.warning /var/log/syslog_warn.log # 記錄mail的warning日志和kern的error日志,其他所有的info日志 *.info;mail.warning;kern.error /var/log/messages # 記錄kernel的info到warning日志 kern.info;kern.!err /var/adm/kernel-info # 將mail和news的info級別日志寫入/var/adminfo mail,news.=info /var/adm/info # 將所有系統中所有類型的info日志和notice日志存入/var/log/massages,mail的所有日志除外。 *.=info;*.=notice;\ mail.none /var/log/messages # 緊急消息(emerg級別)將使用wall顯示給當前所有登錄的用戶 *.=emerg * # 該規則將所有alert以及更高級別的消息定向到操作員的終端,即登錄的用戶“root”和“joey”的終端。 *.alert root,joey注意事項(標題這么大,這段別落下)
單獨把這個拎出來寫。
上面的大概就是所有能用到的規則了,而這些規則有時候還是有些問題的
For example?
Exapmple A
mail.crit,*.err /var/log/syslog_err.log # 這樣的情況,最終的結果還是會把mail的err級別日志輸出到syslog_err.logExapmple B
mail.!warn /var/log/mail.log # 看起來是將mail的warn以下級別的日志輸出到/var/log/mail.log,其實不然,你會發現你什么也得不到。 # 官方的解釋是,感嘆號(就是形似這個的符號 ==> !) 就是個過濾器,你得先有東西,才能去過去,比如: mail.*;mail.!warn /var/log/mail.logExapmple C
如果在規則結束后立即使用反斜杠,而中間沒有空格,那么使用反斜杠將行一分為二是無效的。
以上都是官方建議
以下是個人建議
既然是規整日志,不管是出於什么原因,那一定是為了用起來更方便,看起來更簡潔。別整太多花里胡哨的,實用就行。想明白自己要啥效果,撿自己用得着的看就行。莫要本末倒置,化簡為繁。
- 修改系統日志的輸出格式
rsyslog Properties
模板元素屬性
| 屬性 | 釋義| |
|---|---|
| msg | 日志的信息內容,message。 |
| rawmsg | 不轉義的日志內容。轉義是默認開啟的(EscapecontrolCharactersOnReceive),所以它有可能與socket中接收到的內容不同。 |
| rawmsg-after-pri | 幾乎與rawmsg相同,但是刪除了syslog PRI。 |
| hostname | 打印該日志的主機名。 |
| source | hostname屬性的別名。 |
| fromhost | 接收的信息來自於哪個節點。這里是DNS解析的名字。 |
| fromhost-ip | 接收的信息來自於哪個節點,這里是IP,本地的是127.0.0.1。 |
| syslogtag | 信息標簽。大致形如 programed[14321] 。 |
| programname | tag的一部分,就是上面的programed那個位置。 |
| pri | 消息的PRI部分-未解碼(單值) |
| pri-text | 文本形式的消息的PRI部分,並在括號中添加數值PRI(例如“local0.err<133>”) |
| iut | InfoUnitType 一款監視器軟件,在與監視器后端通信的時候使用 |
| syslogfacility | 設備信息,數字形式表示 |
| syslogfacility-text | 設備信息,文本形式表示 |
| syslogseverity | 日志嚴重性等級,數字形式表示 |
| syslogseverity-text | 日志嚴重性等級,文本形式表示 |
| syslogpriority | 同 syslogseverity |
| syslogpriority-text | 同 syslogseverity-text |
| timegenerated | 高精度時間戳 |
| timereported | 日志中的時間戳。精度取決於日志中提供的內容(在大多數情況下,為秒級) |
| timestamp | 同 timereported |
| protocol-version | IETF draft draft-ietf-syslog-protocol 中的 PROTOCOL-VERSION 字段的內容 |
| structured-data | IETF draft draft-ietf-syslog-protocol 中的 STRUCTURED-DATA 字段的內容 |
| app-name | IETF draft draft-ietf-syslog-protocol 中的 APP-NAME 字段的內容 |
| procid | IETF draft draft-ietf-syslog-protocol 中的 PROCID 字段的內容 |
| msgid | IETF draft draft-ietf-syslog-protocol 中的 MSGID 字段的內容 |
| inputname | 生成日志的輸入模塊的名稱(如“imuxsock”、“imudp”) |
| jsonmesg | 整個日志對象作為json表示。可能出現數據重復,譬如syslogtag包含着programname,但兩者都會分別表示。所以這個屬性有一些額外開銷,建議只有在實際需要的時候再用。 |
Time-Related System Properties
與時間相關的系統屬性(以 2020-07-08 16:57:36 為例)
| 屬性 | 釋義 |
|---|---|
| $now | 當前日期時間戳,格式為YYYY-MM-DD (2020-07-08) |
| $year | 當前年份, 四位數 (2020) |
| $month | 當前月份, 兩位數 (07) |
| $day | 當前月份的日期,兩位數 (08) |
| $wday | 當前天數周幾 :0=Sunday,...6=Saturday |
| $hour | 當前小時(24小時機制),兩位數(16) |
| $hhour | 半小時機值,就是0-29分鍾顯示0,30-59分鍾顯示1。 |
| $qhour | 一刻鍾機值,通過0-3顯示,每15分鍾一截。 |
| $minute | 當前分鍾數,兩位數(57) |
通過模板修改日志
vim /etc/rsyslog.conf
# 創建一個名為cky_format的模板,其中 TIMESTAMP:8:15 表示timestamp屬性值切片第八位到第十五位。
$template cky_format, "%$NOW% %TIMESTAMP:8:15% %hostname% %syslogseverity-text% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate cky_format
#重啟rsyslog
systemctl restart rsyslog
日志格式效果樣例
# NOW | timestamp:8:15| hostname| syslogseverity-text | syslogtag | msg
2020-07-09 09:59:54 mycomputer info systemd: Started System Logging Service.
# 時間戳 | 主機名 | 日志等級 | 服務進程 | 日志內容
尚有不足之處,望各位看客斧正,本文后續會逐漸完善。