Rsyslog Là Gì

Bài toán thù đưa ra: Chúng ta tất cả một reverse-proxy web hệ thống, có khoảng 100 một số loại log được hình thành (hoặc các hệ thống, mỗi hệ thống đều sở hữu log). Làm sao nhằm đẩy log về tập trung vào một trong những server log gần như real-time, tiện thể cho bài toán cai quản, điều tra?

Hướng đi: Ở đây tôi vẫn phối kết hợp cả Rsyslog cùng Syslog-ng.

Bạn đang xem: Rsyslog là gì

Xem thêm: Fix Lỗi Uaword.Dll Khi Cài Uoffice 2.0 Trên Office 2016, Hướng Dẫn Tải Uoffice 2

Rsyslog đang gửi log mang lại đến Syslog-ng, tiếp nối sử dụng cỗ thanh lọc (filter) của syslog-ng nhằm phân chia từng một số loại log đó ra.

Mô hình
*
Tại client, rsyslog vẫn tích lũy log được có mang sẵn, sau đó đính tag mang lại log đó. khi đến Syslog-ng hệ thống, Syslog đã phân các loại tag và ghi ra tệp tin riêng biệt.

Cấu hình rsyslog clientĐể cung cấp tệp tin ngoại trừ, ta rất cần phải bật module imFile của Rsyslog lên.

$ModLoad imfile# Bật module Imfile######################################################## log access$InputFilePollInterval 2$InputFileName /var/log/apache2/access.log$InputFileTag FRAMGIA-ACCESS-LOG$InputFileStateFile CS1-state-varlog$InputFileSeverity info$InputFileFacility local5$InputRunFileMonitor######################################################## log error $InputFilePollInterval 2$InputFileName /var/log/apache2/error.log$InputFileTag FRAMGIA-ERROR-LOG$InputFileStateFile CS1-state-varlog$InputFileSeverity info$InputFileFacility local5$InputRunFileMonitorlocal5.*
10.0.1.171:514Giải thích:

$InputFilePollInterval 2 #Thời gian quét log lặp lại trong khoảng 2 giây

$InputFileName /var/log/apache2/error.log #Đường dẫn file log

$InputFileTag FRAMGIA-ERROR-LOG #TAG của log, tag này có tính năng phân nhiều loại log bên trên syslog-ng server

$InputFileStateFile CS1-state-varlog

$InputFileSeverity info #Mode log, mức độ cảnh báo là info

$InputFileFacility local5 #mode local5, rsyslog chất nhận được tùy biến từ bỏ local 0-7

$InputRunFileMonitor #monitor file log được tư tưởng ở trên

local5.*
IP_SYSLOG_SERVER:514 #gom toàn bộ hack local5 đẩy về VPS port 514

Cài đặt Server Syslog-ng

yum install epel-releaseyum install syslog-ng syslog-ng-libdbiCentos đã cần sử dụng Rsyslog là hệ thống giữ log khoác định, do vậy ý muốn chuyển hẳn sang Syslog-ng ta cần phải tắt Rsyslog đi

service rsyslog stopchkconfig rsyslog off#---------------------------------service syslog-ng startchkconfig syslog-ng onvlặng /etc/syslog-ng/conf.d/proxy.conf

############################### SOURCE#Lắng nghe ở port 514, ta hoàn toàn có thể vứt udp đi do udp là giao thức không đúng địnhsource s_reverse_proxy udp(ip(0.0.0.0) port(514) tags()); tcp(ip(0.0.0.0) port(514) tags()); ; ################################ APACHE ACCESS LOG# Định nghĩa destination filedestination d_reverse_proxy2 file( "/opt/syslog-file-server/reverse_proxy/apache-access-$HOST-$YEAR$MONTH$DAY.log" perm(644) create_dirs(yes) );;#Định nghĩa cỗ lọcfilter f_reverse_proxy2 match("FRAMGIA-ACCESS-LOG") ;# xử lýlog source(s_reverse_proxy); filter(f_reverse_proxy2); destination(d_reverse_proxy2); ;################################ APACHE ERROR LOGdestination d_reverse_proxy3 file( "/opt/syslog-file-server/reverse_proxy/apache-error-$HOST-$YEAR$MONTH$DAY.log" perm(644) create_dirs(yes) );;filter f_reverse_proxy3 match("FRAMGIA-ERROR-LOG") ;log source(s_reverse_proxy); filter(f_reverse_proxy3); destination(d_reverse_proxy3); ;-source: đựng mối cung cấp của thông tin, nó hoàn toàn có thể là: files, local sockets hoặc remote hosts.-destination: đích mang lại của những messages, nó cho thấy thêm những gì được log cùng được log vào đâu. Nó cũng có thể là: files, local sockets hoặc remote hosts.-filter: cỗ thanh lọc của syslog-ng cung ứng vô cùng khỏe khoắn mẽ---facility() Được chia làm 23 nhiều loại, user, mail, syslog, ftp, cron ....---filter()filter trong filter---host()filter source host---inlist()whitelisting/blacklisting.---level() or priority()lọc theo cường độ nhỏng info, warning, criical---match()match kí tự---message()Use a regular expression lớn filter messages based on their nội dung.---netmask()lọc theo ip hoặc cả dải mạng---program()thanh lọc theo program---source()lọc theo source, chỉ cung ứng syslog-ng client---tags()lọc theo tag nhưng client gửi đến