Rsyslog日志采集-低调大师

Rsyslog日志采集

2018-11-29 767

文章整理自《日志分析之 ELK stack 实战》课程学习笔记

Rsyslog是CentOS6.X自带的一款系统日志工具：

1.支持多线程

2.支持TCP,SSL,TLS,RELP等协议

3.支持将日志写入MySQL, PGSQL, Oracle等多种关系型数据中

4.拥有强大的过滤器，可实现过滤系统信息中的任意部分

5.可以自定义日志输出格式

配置文件相关：

[root@monitor elasticsearch-head]# cat /etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none /var/log/messages #定义各类型日志存放位置

cron.* /var/log/cron ##具体日志存放的位置

几种文件说明：

auth #认证日志

authpriv #认证授权认证

cron #任务计划相关日志

kern #内核相关日志

lpr #打印

mail #邮件日志

mark(syslog) #rsyslog服务内部的信息,时间标识

news #新闻组

user #用户程序产生的相关信息

uucp #一个古老的协议

local 0~7 #用户自定义

##日志可以生成文件形式，或者直接打入到网络端比如：

.* 8421 ##把日志打入到远端的8421端口。

日志级别：

rsyslog共有7种日志级别，数字代号从 0~7。具体的意义如下所示：

0 debug –有调式信息的，日志信息最多

1 info 一般信息的日志，最常用

2 notice –最具有重要性的普通条件的信息

3 warning –警告级别

4 err –错误级别，阻止某个功能或者模块不能正常工作的信息

5 crit –严重级别，阻止整个系统或者整个软件不能正常工作的信息

6 alert –需要立刻修改的信息

7 emerg –内核崩溃等严重信息

日志配置文件 “/etc/rsyslog.conf”中，可指定warning级别（log level 为 4级）的存储文件为“/var/log/warning_Log”，具体的设置为：

*.warning /var/log/warning_Log

然后，重启rsyslog：

service rsyslog restart

1、修改配置文件，把生成的日志导入远端端口：

[root@monitor elasticsearch-head]# vim /etc/rsyslog.conf

*.* @@localhost:8421

##重启rsyslog

2、编写logstash配置文件：

[root@monitor etc]# cat rsyslog.conf

input {

tcp {

port => "8421"

type => "rsyslog"

}

filter {

if [type] == "rsyslog" {

grok {

match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }

add_field => [ "received_at", "%{@timestamp}" ]

add_field => [ "received_from", "%{host}" ]

}

date {

match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]

}

output{

if [type] == "rsyslog"{

stdout{codec=>rubydebug}

elasticsearch {

action => "index"

hosts => "192.168.10.100:9200"

index => "logstash-%{type}-%{+yyyy.MM.dd}"

}

3、检测logstash 配置文件：

[root@monitor logstash-5.1.1]# bin/logstash -f etc/rsyslog.conf -t

Sending Logstash's logs to /var/logstash-5.1.1/logs which is now configured via log4j2.properties

Configuration OK

4、启动es,启动logstash ，然后就能在es里面采集到数据。当然一般可以先把数据打入到redis，然后再从redis用logstash 接收：这里只是演示，到后期再演示全部：

一下是生成数据：

微信关注我们

原文链接：https://blog.roncoo.com/article/127291

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

持续集成篇-- SonarQube代码质量管理平台的安装

视频教程：http://www.roncoo.com/course/view/85d6008fe77c4199b0cdd2885eaeee53 IP:192.168.4.221 环境：CentOS 6.6、JDK7、MySQL5.1 、SonarQube-4.5.4(LTS) root用户操作准备工作：已安装JDK7并配置好了环境变量 1 、安装MySQL5.1 （可参考前面SVN管理平台的MySQL安装步骤，如果已安装则无需安装） # rpm -qa | grep mysql ## 查看该操作系统上是否已经安装了mysql数据库，有的话，可以通过 rpm -e 命令或者 rpm -e --nodeps 命令来卸载掉 # yum install mysql-server mysql mysql-devel # service mysqld start # chkconfig --list | grep mysqld mysqld 0:off 1:off 2:off 3:off 4:off 5:off 6:off 用上面的命令查看到MySQL并没有设置开机启动，所以需要设置开...

2018-11-29

834

在开始之前需要去到网上去下载一个activeMQ，（官方网站下载：http://activemq.apache.org/），然后直接解压运行bin目录下面的activemq.bat文件，启动后登陆：http://localhost:8161/admin/，创建一个Queue，命名为FirstQueue，到这里准备工作就完成了，然后就可以开始了。第一步，创建一个普通的java项目，然后导入java包（本人导入的是activemq-all-5.9.0.jar）第二步、添加消息发送者 publicclassSender{ //连接工厂 privatestaticConnectionFactoryconnectionFactory; static{ connectionFactory=newActiveMQConnectionFactory(ActiveMQConnection.DEFAULT_USER,ActiveMQConnection.DEFAULT_PASSWORD,"tcp://localhost:61616"); } publicstaticvoidmain(String[...

2018-11-29

764

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。