syslog介紹
syslog服務器可以用作一個網絡中的日志監控中心,可以將不同設施/主機發送的日志,過濾和合並到一個獨立的位置,這樣使得更容易地查看和獲取重要的日志消息。
rsyslog同時扮演了兩種角色:
- 作為一個syslog服務器,rsyslog可以收集來自其他設施的日志信息;
- 作為一個syslog客戶端,rsyslog可以將其內部的日志信息傳輸到遠程的syslog服務器;
syslog標准基礎
當通過syslog機制來收集日志時,有3個必須要考慮到的重要事情:
- 設施層級: 監聽何種類型的進程
- 嚴重性 (優先) 級別: 收集何種級別的日志消息
- 目標: 發送或記錄日志消息到何處
設施層級定義了一種用來對內部系統進程進行分類的方法,linux中的一些常見的設施包括:
auth: 身份驗證相關的消息(登錄時)
cron: 進程或應用調度相關的消息
daemon: 守護進程相關的消息(內部服務器)
kernel: 內核相關的消息
mail: 內部郵件服務器相關的消息
syslog: syslog 守護進程本身相關的消息
lpr: 打印服務相關的消息
local0 - local7: 用戶自定義的消息 (local7 通常被Cisco 和 Windows 服務器 使用)
嚴重性(優先)級別有固定的標准縮寫和指代的值,其中的數字7具有最高的級別,這些級別包含了:
emerg: Emergency(緊急)- 0
alert: Alerts (報警)- 1
crit: Critical (關鍵)- 2
err: Errors (錯誤)- 3
warn: Warnings (警告)- 4
notice: Notification (通知)- 5
info: Information (消息)- 6
debug: Debugging (調試)- 7
最后,目標語句會讓一個syslog客戶端來執行以下三個任務之一:
保存日志消息到一個本地文件;
通過TCP/UDP將消息路由到遠程的syslog服務器中;
將其發送到一個標准輸出中,例如控制台。
在 rsyslog里, syslog的配置是基於以下模式進行結構化的。
[facility-level].[severity-level] [destination]
在Linux中配置Rsyslog
第1步: 初始化系統需求
要將linux主機設置為一個中央日志服務器, 我們需要創建一個分離的 /var 分區,並分配足夠大的磁盤空間或者創建一個特殊的LVM卷組。這樣就會使得syslog服務器能夠承擔在日積月累收集日志所帶來的潛在增長。
第2步: 讓rsyslog 后台進程生效
rsyslog守護進程來自於當前的linux發布版本的預裝模塊,但是默認並沒有啟動。為了能夠讓rsyslog守護進程能夠接受外部的消息,需要編輯其配置文件/etc/rsyslog.conf.
打開文件進行編輯,查找到下面的兩行所在的位置,通過刪除其行首的#字符來取消注釋。
$ModLoad imudp
$UDPServerRun 514
這會使得rsysolog守護進程能夠在UDP端口514上接受日志消息了---UDP是一種比TCP速度快,但是並不具有TCP一樣的數據流的可靠性。所以如果你需要使用可靠的傳送機制,就可以通過取消以下行的注釋。
$ModLoad imtcp
$InputTCPServerRun 514
需要注意的是,TCP和UDP可以被同時生效來監聽TCP/UDP 連接。
第3步:創建日志接收模板
接下來的這步,需要我們來為遠程消息創建模板,並告知rsyslog守護進程如何記錄從其他客戶端機器所接受到的消息。
使用文本編輯器來打開 /etc/rsyslog.conf,然后在GLOBAL DIRECTIVE塊前追加以下的模板。
$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" *
*.* ?RemoteLogs
& ~
在此對該模板進行簡單解釋,$template RemoteLogs(這里“RemoteLogs” 字符串可以為任何其他的描述性的名稱)指令使rsyslog后台進程將日志消息寫到/var/log下的單獨的本地日志文件中,其中日志文件的名稱是基於遠程日志發送機器的主機名以及生成該日志的應用程序名進行定義的。其中第二行暗示了我們將RemoteLogs模板應用到所有接收到的日志上。
符號"& ~"表示了一個重定向規則,被用來告知rsyslog守護進程停止對日志消息的進一步處理,並且不要在本地寫入。如果沒有使用該重定向規則,那么所有的遠程消息都會在寫入上述描述的日志文件之外同時被寫入到本地日志文件,這就意味着日志消息實際上被寫了兩次。使用該規則的另外一個結果就是syslog服務器本身的日志消息只會被以該機器主機名命名的專有文件中。
如果你想要的話,也可以使用下面的模式對特定的設備或嚴重性級別使用新的模板直接來記錄日志消息。
[facility-level].[severity-level] ?RemoteLogs
例如:
將全部優先級別的所有內部用戶驗證消息指定為RemoteLogs模板:
authpriv.* ?RemoteLogs
將所有系統進程中除開mail、用戶驗證和cron消息之外的進程產生的消息級別的日志指定為RemoteLogs模板:
*.info,mail.none,authpriv.none,cron.none ?RemoteLogs
如果我們想要將所有從遠程客戶端接受到的消息寫入到一個以它們的IP地址命名的單個文件中,可以使用以下的模板。在此我們為該模板賦予了“IpTemplate”名稱。
$template IpTemplate,"/var/log/%FROMHOST-IP%.log"
*.* ?IpTemplate
& ~
在我們啟用rsyslog守護進程並編輯好配置文件之后,需要重啟該守護進程。