Syslog-ng+Rsyslog收集日志：收集SSH用户命令（四）

有些时候需要用到堡垒机，但要知道用户都用那些命令操作过。

rsyslog属性的名称中以$开头的是从本地系统获得的变量、不带$是从消息中获得变量

一、先配置系统变量记录SSH命令，并生成文件，位置/var/log/ssh.log。

#vi /etc/profile.d/ssh.sh  //创建一个文件ssh.sh脚本去存放变量

export HISTORY_FILE=/var/log/ssh.log
export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >> $HISTORY_FILE'####

创建完文件要生效一下。

#source /etc/profile.d/ssh.sh

以上配置成功后可以查看/var/log/ssh.log文件来显示。

#tail -f /var/log/ssh.log#####

注意：如果希望按时间去生成文件可以修改ssh.sh里的ssh.log改成`date '+%F'`.log这样就会按天来保存了，如果需要时间请去查看LINUX短格式修改。

export HISTORY_FILE=/var/log/ssh-`date '+%F'`.log  //注意date也被单引号包括起来了

二、添加rsyslog模块上传

vi /etc/rsyslog.d/ssh-log.conf

# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####
### 注意 ###
#配置文件中的中文注释为方便初学者，并非官方提供，中文注释可能会引起奇怪的问题。
#建议：在使用中删除所有的中文注释，如需注释可以用英文（实在不行就拼音）

#装载imfile模块
$ModLoad imfile

#检查日志文件间隔（秒）
$InputFilePollInterval 1

#指定日志文件的拥有者
$FileOwner root

# 使用自定义的格式
$ActionFileDefaultTemplate myformat

#状态文件保存路径，文件被用来记录扫描日志位置等信息。
#在测试中服务器收集不到日志，是因为被扫描过的文档不会再次上传，可以清空该目录缓存
$WorkDirectory /var/spool/rsyslog

# 定义队列文件名
#$ActionQueueFileName relpact

# 重试次数， -1 表示无限重试 
#$ActionResumeRetryCount -1

# rsyslog关闭时将队列内容存盘，防止数据丢失 
#$ActionQueueSaveOnShutdown on
$PrivDropToGroup root

##日志格式模板：
$template BiglogFormatTomcat,"%msg%\n"

## Tomcat的catalina.out路径，根据实际情况修改:
#读取日志文件
$InputFileName /var/log/ssh.log
#写入日志附加标签字符串
$InputFileTag ssh-log
#日志类型，local5必须和日志收集服务器里过滤器facility(local5)里local5名字一样。
$InputFileFacility local5 
#定义记录偏移量数据文件名
$InputFileStateFile stat-ssh-log
#日志等级
$InputFileSeverity info
#回写偏移量数据到文件间隔时间（秒）
$InputFilePersistStateInterval 1
#激活读取，可以设置多组日志读取，每组结束时设置本参数。以示生效。
$InputRunFileMonitor
#提交日志到不同服务器时单独在此指定服务器IP:port,
#如都提交在同一服务器只需在rsyslog.conf里指定一次即可
# local5.*  @@192.168.1.251:514

重启rsyslog服务生效

#service rsyslog restart

附录：LINUX命名短格式参考

  
  %%    一个文字的 %
  %a    当前locale 的星期名缩写(例如： 日，代表星期日)
  %A    当前locale 的星期名全称 (如：星期日)
  %b    当前locale 的月名缩写 (如：一，代表一月)
  %B    当前locale 的月名全称 (如：一月)
  %c    当前locale 的日期和时间 (如：2005年3月3日 星期四 23:05:25)
  %C    世纪；比如 %Y，通常为省略当前年份的后两位数字(例如：20)
  %d    按月计的日期(例如：01)
  %D    按月计的日期；等于%m/%d/%y
  %e    按月计的日期，添加空格，等于%_d
  %F    完整日期格式，等价于 %Y-%m-%d
  %g    ISO-8601 格式年份的最后两位 (参见%G)
  %G    ISO-8601 格式年份 (参见%V)，一般只和 %V 结合使用
  %h    等于%b
  %H    小时(00-23)
  %I    小时(00-12)
  %c    按年计的日期(001-366)
  %k    时(0-23)
  %l    时(1-12)
  %m    月份(01-12)
  %M    分(00-59)
  %n    换行
  %N    纳秒(000000000-999999999)
  %p    当前locale 下的"上午"或者"下午"，未知时输出为空
  %P    与%p 类似，但是输出小写字母
  %r    当前locale 下的 12 小时时钟时间 (如：11:11:04 下午)
  %R    24 小时时间的时和分，等价于 %H:%M
  %s    自UTC 时间 1970-01-01 00:00:00 以来所经过的秒数
  %S    秒(00-60)
  %t    输出制表符 Tab
  %T    时间，等于%H:%M:%S
  %u    星期，1 代表星期一
  %U    一年中的第几周，以周日为每星期第一天(00-53)
  %V    ISO-8601 格式规范下的一年中第几周，以周一为每星期第一天(01-53)
  %w    一星期中的第几日(0-6)，0 代表周一
  %W    一年中的第几周，以周一为每星期第一天(00-53)
  %x    当前locale 下的日期描述 (如：12/31/99)
  %X    当前locale 下的时间描述 (如：23:13:48)
  %y    年份最后两位数位 (00-99)
  %Y    年份
  %z +hhmm              数字时区(例如，-0400)
  %:z +hh:mm            数字时区(例如，-04:00)
  %::z +hh:mm:ss        数字时区(例如，-04:00:00)
  %:::z                 数字时区带有必要的精度 (例如，-04，+05:30)
  %Z                    按字母表排序的时区缩写 (例如，EDT)

参考文章：

http://www.cnblogs.com/mchina/p/linux-centos-rsyslog-loganalyzer-mysql-log-server.html

http://blog.163.com/ly_89/blog/static/1869022992011756434459/

http://jingyan.baidu.com/article/f25ef25466bffc482c1b82b6.html

http://blog.csdn.net/jk110333/article/details/8590746/

转载于:https://blog.51cto.com/wutou/1765451