• syslog日志

    Syslog协议

    系统日志(Syslog)协议是在一个IP网络中转发系统日志信息的标准,它是在美国加州大学伯克利软件分布研究中心(BSD)的TCP/IP系统实施中开发的,目前已成为工业标准协议,可用它记录设备的日志。Syslog记录着系统中的任何事件,管理者可以通过查看系统记录随时掌握系统状况。系统日志通过Syslog进程记录系统的有关事件,也可以记录应用程序运作事件。通过适当配置,还可以实现运行Syslog协议的机器之间的通信。通过分析这些网络行为日志,可追踪和掌握与设备和网络有关的情况。

    在Unix类操作系统上,syslog广泛应用于系统日志。syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

    完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或 Level)、时间、主机名或IP、进程名、进程ID和正文。在Unix类操作系统上,能够按Facility和Severity的组合来决定什么样的日志消息是否需要记录,记录到什么地方,是否需要发送到一个接收syslog的服务器等。由于syslog简单而灵活的特性,syslog不再仅限于Unix类主机的日志记录,任何需要记录和发送日志的场景,都可能会使用syslog。

    syslog协议格式定义如下

    facility.priority action

    facility(设施):标识系统需要记录日志的子系统,大概有以下子系统。

    auth #PAM认证相关日志;

    authpriv #SSH、FTP登录相关日志;

    cron #任务计划相关日志;

    daemon #守护进程相关日志;

    kern #内核相关日志;

    lpr #打印相关日志;

    mail #邮件相关日志;

    mark #标记相关日志;

    news #新闻相关日志;

    security #安全相关日志与auth类似;

    syslog #Rsyslog自己的日志;

    user #用户相关日志;

    uucp #UNIX to UNIX cp相关日志;

    local0 to local7 #用户自定义使用设置日志;

    * #表示所有的facility;

    priority(级别):用来标识日志级别,级别越低信息越详细,有以下日志级别,从上到下,级别从低到高,记录的信息越来越少,详细的可以查看手册: man 3 syslog。

    debug #程序或系统调试信息;

    info #一般信息;

    notice #不影响正常功能需要注意的信息;

    warning #可能影响系统功能提醒用户的重要事件;

    error #错误信息;

    crit #比较严重的信息;

    alert #必须马上处理的警告信息;

    emerg/panic #会导致系统不可用的严重信息;

    * #表示所有日志级别;

    none #跟*相反表示什么都没有;

    action(动作):设置日志记录的位置,有以下几种。

    1)记录到普通文件或设备文件

    *.* /var/log/file.log #绝对路径

    *.* /dev/pts/0 #设备文件

    2)”|”,表示将日志送给其他命令处理

    3)”@HOST”,表示将日志发送到特定的主机

    *.emerg @192.168.10.1

    4)”用户”,表示将日志发送到特定的用户

    5)”*”,表示将日志发送所有登录到系统上的用户

    连接符号

    . #表示大于等于xxx级别的信息;

    .= #表示等于xxx级别的信息;

    .! #表示在xxx之外的等级的信息;

    格式定义案例(定义在/etc/rsyslog.conf配置文件)

    # 表示将mail相关的,info级别及以上级别都记录到mail.log文件中

    mail.info /var/log/mail.log

    # 表示将auth相关的基本为info信息记录到远程主机

    auth.=info @192.168.10.1

    # 表示记录与user和error相反的

    user.!error

    # 表示记录所有日志信息的info级别及以上级别

    *.info

    # 所有日志及所有级别信息都记录下来

    *.*

    PS:多个日志来源可以使用,号隔开,如cron.info;mail.info。

    rsyslog日志系统

    对于日志管理,其配置文件为”/etc/rsyslog.conf“,信息如下介绍:

    # 表示将所有facility的info级别,但不包括mail,authpriv,cron相关的信息,记录到 /var/log/messages文件

    #### MODULES ####               #定义日志的模块。
$ModLoad imuxsock             #imuxsock为模块名,支持本地系统日志的模块。
$ModLoad imjournal            #imjournal为模块名,支持对系统日志的访问。
#$ModLoad imklog               #imklog为模块名,支持内核日志的模块。
#$ModLoad immark               #immark为模块名,支持日志标记。
# Provides UDP syslog reception   #提供udp syslog的接收。
#$ModLoad imudp               #imudp为模块名,支持udp协议。
#$UDPServerRun 514               #允许514端口接收使用udp和tcp转发来的日志。
# Provides TCP syslog reception       #提供tcp syslog的接收。
#$ModLoad imtcp              #imtcp为模块名,支持tcp协议。
#$InputTCPServerRun 514

#### GLOBAL DIRECTIVES ####    #定义全局日志格式的指令。
# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog       #工作目录。
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat  #定义日志格式默认模板。
$IncludeConfig /etc/rsyslog.d/*.conf                     #所有配置文件路径。
$OmitLocalLogging on                                      #省略本地登录。
# File to store the position in the journal
$IMJournalStateFile imjournal.state

#### RULES ####
#kern.*                                  /dev/console
#记录所有日志类型的info级别以及大于info级别的信息到messages文件,但是mail邮件信息,authpriv验证方面的信息和corn时间和任务相关信息除外。
*.info;mail.none;authpriv.none;cron.none      /var/log/messages

# authpriv验证相关的所有信息存放在/var/log/secure。
authpriv.*                                /var/log/secure

#邮件的所有信息存在/var/log/maillog;这里有一个“-”符号表示是使用异步的方式记录
mail.*                                   -/var/log/maillog

#任务计划有关的信息存放在/var/log/cron。
cron.*                                   /var/log/cron

#记录所有的≥emerg级别信息,发送给每个登录到系统的日志。
*.emerg                                 :omusrmsg:*

#记录uucp,news.crit等存放在/var/log/spooler
uucp,news.crit                            /var/log/spooler

#本地服务器的启动的所有日志存放在/var/log/boot.log
local7.*                                  /var/log/boot.log

#发送日志,@表示传输协议(@表示udp,@@表示tcp),后面是ip和端口。
#*.* @@remote-host:514

     通过syslog接收远程日志

    服务端(sever)

    1)检查是否安装了rsyslog软件

    # rpm -qa | grep rsyslog    //默认系统都安装了该软件

    2)安装rsyslog 连接MySQL数据库的模块

    # yum install rsyslog-mysql –y

    rsyslog-mysql 为rsyslog 将日志传送到MySQL 数据库的一个模块,这里必须安装。

    3)配置服务端支持rsyslog-mysql 模块,并开启UDP服务端口获取网内其他LINUX系统日志

    #### MODULES ####

$ModLoad ommysql
*.* :ommysql:192.168.10.15,Syslog,root,123456

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
$ModLoad immark  # provides --MARK-- message capability

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514 

    4)导入rsyslog-mysql 数据库文件

    # mysql -uroot -pabc123 < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

    mysql> use Syslog;
Database changed
mysql> show tables
    -> ;
+------------------------+
| Tables_in_Syslog       |
+------------------------+
| SystemEvents           |
| SystemEventsProperties |
+------------------------+
2 rows in set (0.01 sec)

mysql>

     5)重启rsyslog 服务

    # /etc/init.d/rsyslog restart

    客户端(client)

    1)配置rsyslog 客户端发送本地日志到服务端

    # vi /etc/rsyslog.conf

    *.* @192.168.10.15

    2)重启rsyslog 服务

    # /etc/init.d/rsyslog restart

    3)编辑/etc/bashrc,将客户端执行的所有命令写入系统日志/var/log/messages中。

    # vi /etc/bashrc

    在文件尾部增加一行

    export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

    设置其生效

    # source /etc/bashrc

    客户端配置完毕。

    通过以上配置即可在服务端的数据库和/var/log/message中接收到客户端操作信息
  • 相关阅读:
    封装和参数调用(格式修改)
    今天休息
    2018.1.9内部类
    2018.1.8转型
    环境变量
    环境变量
    计算机的高级语言
    常用的设计模式
    常用的设计模式
    【python3】中 elif 的使用
  • 原文地址:https://www.cnblogs.com/porkerface/p/11320696.html
Copyright © 2020-2023  润新知