Rsyslog

一、Linux日志基础

以centos6为例来讲日志

1、配置日志服务的脚步是

Rpm -ql rsyslog
Vim /etc/rsyslog.conf 配置脚步
/etc/rc.d/init.d/rsyslog restart 启动服务脚本
Service rsyslog restart  sys风格的脚本
Tail  /var/log/messages, secure, 查看最近系统记录的日志信息,安全
Tail  /var/log/httpd/accecpt_log 查看最近网页日志记录

日志的监听端口是514(tcp、udp)

2、日志:记录的内容

历史事件
按时间序列将发生的事件予以记录
日志记录:事件发生的时间,事件内容;
日志级别:事件的关键性程度,log level

3、Linux: 哪些进程需要记录日志?

早期系统上日志是由syslog和syslogd来完成日志记录centos5
syslog: 日志系统
syslogd: 系统进程的相关日志
klogd: 内核事件相关的日志
Rsyslog  优点
rsyslog: centos6、7的日志服务,支持多线程
TCP,SSL,TLS,RELP  支持的传输协议
MySQL, PGSQL, Oracle等多种关系型数据中
强大的过滤器,可实现过滤系统信息中的任意部分
自定义输出格式
适用于企业级别日志记录需求

4、对rsyslog.conf的讲解

facility: 设施,从功能或程序上对日志进行分类,并由专门的工具负责记录其日志
Auth    认证机制
Authpriv  加密受限制的
Cron     计划任务
Daemon   守护进程日志
Kernel 内核日志
lpr
Mail  邮件
Mark  对iptables 标记
News 新消息
Security  安全日志
Syslog  日志系统
User 用户日志
Uucp uucp 定义日志级别日志
local0 through local7: 8 customed facility 
指定设施时可以使用通配符:
*: 所有
f1,f2,f3,...: 列表
!: 取反
5、日志级别
priority: 级别
Debug  错误的
Info 基本信息日志
Notice 需要留意的日志
warn, warning 发起警报的日志
err, error 错误警报日志
Crit 蓝色警报日志
Alert 红色警报日志
emerg, panic  橙色警报日志,最高级别的,达到这个级别的日志,如果不及时处理的话,服务器可能就会挂啦
通配符:
*: 所有级别
none: 没有任何级别
Target: 处理动作
文件路径:例如/var/log/messages
用户: *
日志服务器:@SERVER_IP
管道:| COMMAND
例如 @192.168.1.1  传输的是tcp
@@ 192.168.1.1 传输的是udp
不过建议真正配置远程日志服务器的时候最好两个都开起来

6、日志信息

rsyslog的主配置文件:/etc/rsyslog.conf,其定义格式
facility.priority Target  优先处理的日志
mail.info  /var/log/maillog
# 比指定级别更高的所有级别,包括指定的级别本身;
mail.=info    /var/log/maillog  日志级别=info的日志 放在 。。。。。
# 明确指定级别;
mail.!info   *   日志级别不是info的所有级别
# 除了指定级别
*.info        | COMMAND
# 所有facility的info级别
mail.*:
# mail的所有级别
mail,news.info:

二、远程日志服务器制作

设置好ip地址

Vmware1 192.168.1.146 远程日志服务器

Vmware2 192.168.1.143 主机

Vmware1

1、安装服务器

启动接受数据模块  vim /etc/rsyslog.conf

重启服务  service  rsyslog   restart

2、Vmware2  vim /etc/rsyslog.conf 客户端日志设置连接服务器

测试安装软件测试日志记录

Vmware1服务器测试日志是否记录,tail/var/log/message

三、日志记录记录到数据库中保存

Vmware1测试

软件安装

1、安装rsyslog-mysql 日志连接mysql的工具和数据库

Yum  -y install mysql-server rsyslog-mysql

Service  mysql  restart  测试mysql 是否开启

vim /etc/rsyslog.conf

连接写入数据库的那个库,是哪个个用户,密码设置

2、导入数据库模板

3、创建表创建用户、授权

Vmware2

安装软件测试日志记录

Vmware1测试  安装软件

Tail /var/log/messege  没有

去数据库中查找

四、利用监控软件监控日志数据

安装软件

yum install  httpd  php  php-mysql  php-gd  rsyslog-mysql  mysql-server  -y

1、编辑测试页

2、查看httpd、mysql、php的连接信息

3、下载监控日志软件

http://loganalyzer.adiscon.com/downloads/

Tar xf loganalyzer-3.6.5.tar.gz

Cd loganalyzer

4、编译安装软件

编译安装、修改权限、移到/var/www/html下

5、安装软件

不选解析主机

设置密码

结果