99热在线精品一区二区三区_国产伦精品一区二区三区女破破_亚洲一区二区三区无码_精品国产欧美日韩另类一区

一、日志概述

站在用戶的角度思考問題，與客戶深入溝通，找到民勤網(wǎng)站設(shè)計與民勤網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：網(wǎng)站設(shè)計、成都做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、域名申請、網(wǎng)絡(luò)空間、企業(yè)郵箱。業(yè)務(wù)覆蓋民勤地區(qū)。

1、rsyslog簡介

   syslog是日志收集存儲系統(tǒng)，負責記錄遵守此服務(wù)的內(nèi)核、程序的日志信息。一般記錄為：“日期時間，主機，進程：事件”。syslog不僅可以記錄本地的系統(tǒng)日志，也可以通過tcp, udp協(xié)議記錄遠程主機的程序日志信息。

syslog：系統(tǒng)日志，是一種服務(wù)，有兩個進程

   syslogd：記錄應(yīng)用程序相關(guān)的日志

   klogd：記錄內(nèi)核相關(guān)的日志

rsyslog：是syslog的升級版，使用多線程并發(fā)記錄本地或遠程日志，支持存儲日志信息在MySQL,PGSQL, Oracle等RDBMS中。同時擁有強大的過濾器功能，可以對日志中任意內(nèi)容進行過濾。

   rsyslog是CentOS 6以后的系統(tǒng)使用的日志系統(tǒng)，與之前的syslog日志系統(tǒng)相比，具有以下優(yōu)點：

     支持多線程

     支持TCP、SSL、TLS、RELP等協(xié)議

     強大的過濾器，可實現(xiàn)過濾日志信息中的任意部分

     支持自定義輸出格式

     適用于企業(yè)級別日志記錄需求

     模塊化

日志的記錄格式：

   日期時間 主機 進程[pid]：事件內(nèi)容

2、rsyslog的一些概念 

   系統(tǒng)上的應(yīng)用程序指定某一信道記錄日志，信道默認已經(jīng)設(shè)定了日志的記錄級別，一旦應(yīng)用程序產(chǎn)生了日志信息，通過該信道就會把日志文件記錄在指定的本地文件、數(shù)據(jù)庫或遠程rsyslog服務(wù)器中。

當然應(yīng)用程序輸出的日志一般也會按照級別劃分，比如sshd_conf中就定義了信道為authpriv，級別為info的日志輸出： 
# Logging — SyslogFacility AUTHPRIV — #LogLevel INFO

3、rsyslog支持的facility與priority

facility：設(shè)施、信道

   從功能或程序上對日志進行分類，并由專門的工具負責記錄其日志

常用的facility：
       lpr： 打印相關(guān)的日志
      auth： 認證相關(guān)的日志
      user： 用戶相關(guān)的日志
      cron： 計劃任務(wù)相關(guān)的日志
      kern： 內(nèi)核相關(guān)的日志
      mail： 郵件相關(guān)的日志
      mark： 標記相關(guān)的日志
      news： 新聞相關(guān)的日志
      uucp： 文件copy相關(guān)的日志
    daemon： 系統(tǒng)服務(wù)相關(guān)的日志
   authpri： 授權(quán)相關(guān)的日志
  security： 安全相關(guān)的日志
    syslog： 由syslogd服務(wù)產(chǎn)生的日志信息，雖然服務(wù)名稱改為rsyslogd，但是很多配置都還是沿用了syslogd的，這里并沒有修改服務(wù)名
  local0-local7：自定義相關(guān)的日志信息（自定義時可以使用通配符）

priority：級別

debug           #有調(diào)式信息的，日志信息最多
info            #一般信息的日志，最常用
notice          #最具有重要性的普通條件的信息
warning, warn   #警告級別
err, error      #錯誤級別，阻止某個功能或者模塊不能正常工作的信息
crit            #嚴重級別，阻止整個系統(tǒng)或者整個軟件不能正常工作的信息
alert           #需要立刻修改的信息
emerg, panic    #內(nèi)核崩潰等嚴重信息
###從上到下，級別從低到高，記錄的信息越來越少，如果設(shè)置的日志內(nèi)性為err，則日志不會記錄比err級別低的日志

二、rsyslog配置

1、程序環(huán)境

程序包：rsyslog

配置文件：/etc/rsyslog.conf， /etc/rsyslog.d/*.conf

主程序：/usr/sbin/rsyslogd

模塊路徑：/lib64/rsyslog/

Unit File：/usr/lib/systemd/system/rsyslog.service

2、配置文件/etc/rsyslog.conf格式詳解

由三部分組成，必須嚴格按照配置段位置添加配置

1 2 3 4

[root@centos6.8~]# grep "####" /etc/rsyslog.conf #### MODULES #### #### GLOBAL DIRECTIVES #### #### RULES ####

MODULES：定義裝載的模塊，如接下來的使用mysql模塊記錄日志則需要在這里配置

GLOBAL DIRECTIVES：定義了全局的環(huán)境

RULES：定義了記錄日志的設(shè)施以及等級等信息

  定義規(guī)則的格式為：

     facility.priority  Target

facility可以使用的通配符：

   *：所有

   ,：列表，如f1，f2，f3...

   !：取反         

        

priority可以使用的通配符：

   *：所有日志級別

 none：沒有任何級別，也就是不記錄日志信息

             

Target：目標，指日志保存的位置

    可以使用的有：

        文件,如/var/log/messages

      用戶：* 表示當前登錄系統(tǒng)的所有用戶

      日志服務(wù)器：@host  ##host: 必須要監(jiān)聽在tcp或udp協(xié)議514端口上提供服務(wù)；

      管道：| COMMAND

例如：

mail.info /var/log/maillog 

       表示將mail產(chǎn)生的info日志級別以上的信息都記錄在/var/log/maillog文件中

mail.=info  表示僅記錄info級別日志

mail.!info  表示記錄info以下級別的日志 

*.info     表示所有設(shè)施的info級別

mail,news.info  表示mail和news都使用info級別

有些日志記錄二進制格式：/var/log/wtmp，/var/log/btmp

/var/log/wtmp: 當前系統(tǒng)上成功登錄的日志； last

/var/log/btmp：當前系統(tǒng)上失敗的登錄嘗試； lastb

lastlog命令：顯示當前系統(tǒng)每一個用戶最近一次的登錄時間；

3、配置文件/etc/rsyslog.conf詳解

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

#### MODULES 日志的模塊#### $ModLoad imuxsock   #imuxsock是模塊名，支持本地系統(tǒng)日志的模塊 $ModLoad imklog     #imklog是模塊名， 支持內(nèi)核日志的模塊 #$ModLoad immark    #immark是模塊名，支持日志標記 #$ModLoad imudp     #imupd是模塊名，支持udp協(xié)議 #$UDPServerRun 514  #允許514端口接收使用UDP和TCP協(xié)議轉(zhuǎn)發(fā)過來的日志 #$ModLoad imtcp     #imtcp是模塊名，支持tcp協(xié)議 #$InputTCPServerRun 514 #### GLOBAL DIRECTIVES ####定義全局日志格式的指令 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat #定義日志格式默認模板 $IncludeConfig /etc/rsyslog.d/*.conf   #載入rsyslog.d文件中所有以conf結(jié)尾的文件 #### RULES #### *.info;mail.none;authpriv.none;cron.none    /var/log/messages #####記錄所有日志類型的info級別以及大于info級別的信息到/var/log/messages，但是mail郵件信息，authpriv驗證方面的信息和cron時間#任務(wù)相關(guān)的信息除外 authpriv.*             /var/log/secure #####authpriv驗證相關(guān)的所有信息存放在/var/log/secure mail.*                -/var/log/maillog #####郵件的所有信息存放在/var/log/maillog; 這里有一個-符號, 表示是使用異步的方式記錄, 因為日志一般會比較大 cron.*                /var/log/cron ####計劃任務(wù)有關(guān)的信息存放在/var/log/cron *.emerg                * (*表示所有用戶） ###記錄所有的大于等于emerg級別信息, 以wall方式發(fā)送給每個登錄到系統(tǒng)的人 uucp,news.crit        /var/log/spooler ####記錄uucp,news.crit等存放在/var/log/spooler local7.*              /var/log/boot.log ####本地服務(wù)器的啟動的所有日志存放在/var/log/boot.log中

三、配置使用基于mysql存儲日志信息,并結(jié)合前端loganalyzer工具分析日志

1、配置rsyslog日志存儲于mysql中

(1) 準備好MySQL服務(wù)器，創(chuàng)建用戶，授權(quán)對Syslog數(shù)據(jù)庫的全部訪問權(quán)限；

mysql> grant all on Syslog.* to 'syslog'@'192.168.137.%' identified by '123456';

(2) rsyslog服務(wù)起上安裝rsyslog-mysql程序包；

yum install -y rsyslog-mysql

(3) 創(chuàng)建rsyslog-mysql依賴的數(shù)據(jù)庫；

rpm -ql rsyslog-mysql

/lib64/rsyslog/ommysql.so

/usr/share/doc/rsyslog-mysql-5.8.10

/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql    ##建庫腳本位置

# yum install mysql -y   ##rsyslog服務(wù)器安裝mysql客戶端

# mysql -usyslog  -p123456  -h292.168.137.130  --default-character-set=utf8 < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

mysql> use Syslog

Database changed

mysql> show tables;

+------------------------+

| Tables_in_Syslog       |

+------------------------+

| SystemEvents           |

| SystemEventsProperties |

(4) 配置rsyslog使用ommysql模塊

vim /etc/rsyslog.conf

#### MODULES ####

$ModLoad ommysql

#### RULES ####

*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.137.130,Syslog,syslog,123456

重啟rsyslog服務(wù):    service rsyslog restart

(5)測試日志記錄

rsyslog服務(wù)器：yum remove lrzsz

mysql> select * from SystemEvents\G   

2、安裝loganalyzer(rsyslog專用前端展示工具)

(1)準備環(huán)境，loganalyzer為php程序開發(fā)的web頁面

    yum install -y httpd php php-mysql php-gd            (mysql mysql-server rsyslog-mysql前期已安裝)

   測試httpd能否正常工作，能否通過php工作

[root@master ~]# cd /var/www/html/

[root@master html]# vim index.php

Hello word!

My Blog is "http://guopeng7216.blog.51cto.com/"

phpinfo();

?>

測試php和mysql結(jié)合

(2)、下載loganalyzer并進行安裝配置；

http://pan.baidu.com/s/1nvsN5rz

 ~]# tar xf loganalyzer-3.6.4.tar.gz 

 ~]# cd loganalyzer-3.6.4

 loganalyzer-3.6.4]# cp -r src /var/www/html/loganalyzer 

 loganalyzer-3.6.4]# cp contrib/*.sh /var/www/html/loganalyzer/

 loganalyzer-3.6.4]# cd /var/www/html/loganalyzer/

loganalyzer]# chmod u+x *.sh

loganalyzer]# ./configure.sh 

loganalyzer]# ./secure.sh 

loganalyzer]# chown -R apache:apache ./*

修改rsyslog的配置文件rsyslog.conf，只需開啟兩個模塊以及允許通過tcp，udp發(fā)出接受信息，并且設(shè)置信息都保存至mysql數(shù)據(jù)庫的Syslog中，

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

日志數(shù)據(jù)存儲在數(shù)據(jù)庫中，其它全部注釋掉

*.*     :ommysql:192.168.137.150,Syslog,syslog,123456

安裝loganalyzer:

http://192.168.137.150/loganalyzer/install.php

對loganalyzer日志系統(tǒng)進行測試，在本機上通過ssh連接192.168.137.150

[root@centos-7 loganalyzer]# ssh 192.168.137.150

root@192.168.137.150's password: 

Last login: Thu May 11 19:37:06 2017 from centos-7

重新配置loganalyzer:

loganalyzer]# rm -f config.php 

loganalyzer]# ./configure.sh 

loganalyzer]# ./secure.sh 

loganalyzer]# chmod 666 config.php

http://192.168.137.150/loganalyzer/install.php

本文標題：Rsyslog日志收集服務(wù)并結(jié)合Loganalyzer工具展示
文章鏈接：http://ef60e0e.cn/article/ppgpej.html