rsyslog:
日志: 历史事件
历史事件:
时间, 事件
日志级别: 事件的关键性程度, Loglevel
syslog:
syslogd: system
klogd: kernel
rsyslog:
syslog
klogd
rsyslog:
多线程
UDP, TCP, SSL, TLS, RELP;
MySQL, PGSQL, Oracle实现日志存储
强大的过滤器,可实现过滤日志信息中心的任何部分
自定义日志输出格式
日志收集方:
facility:从功能或程序上对日志进行分类:
auth,authpriv, cron, daemon, kern, lpr, mail, news, security, user, uucp, local0-local7,syslog
priority
debug, info, notice, warn(warning), err, crit, alert, emerg(panic)
指定级别:
*:所有级别
none:没有级别
priority:此级别及更高级别
=priority: 此级别
facility.priority /var/log/messages
程序环境:
主程序: rsyslogd
配置文件: /etc/rsyslog.conf
脚本服务: /etc/rc.d/init.d/rsyslog
rsyslog.conf
RULES:
facility.priority target
target:
文件路径: 记录于指定的日志文件中,通常应该在/var/log目录下:文件路径前的"-"表示异步写入
用户: 将日志通知给指定用户
*: 所有用户
日志服务器: @host
host: 必须监听在tcp或udp协议的514端口上提供服务
管道: |COMMAND
文件记录的日志格式:
事件产生的日期时间 主机
有些日志记录二进制格式:/var/log/wtmp, /var/log/btmp
/var/log/wtmp: 当前系统上成功登录的日志
last 命令查看
/var/log/btmp: 当前系统上失败的登录尝试
lastb
lastlog命令: 显示当前系统上每一个用户最近一次登录的时间
rsyslog服务器在配置文件开启如下选项:
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides UDP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
配置使用基于MySQL存储日志信息:
(1) 准备好MySQL服务器, 创建用户,授权对Syslog数据库的所有权限:
GRANT ALL ON Syslog.* to 'syslog'@'服务器地址' IDENTIFIED BY 'password';
(2) 安装rsyslog-mysql程序包
(3) 安装rsyslog-mysql以来的数据库
# mysql -uUSERNAME -hHOST -p < /usr/share/doc/rsyslog-mysql-VERSION/createDB.sql
(4) 配置rsyslog使用ommysql模块
##### MODULES #####
$ModLoad ommysql
##### RULES #####
facility.priority :ommysql:DBHOST,DB,USER,USERPASSWD
重启rsyslog服务
(5) 安装loganalyzer
a. 配置webserver,支持php
b. loganalyzer
# cp -r src /var/www/html/loganalyzer
# cp contribute/*.sh /var/www/html/loganalyzer
# chmod +x ./*.sh
# ./configure.sh
# ./secure.sh
# chmod 666 config.php
日志: 历史事件
历史事件:
时间, 事件
日志级别: 事件的关键性程度, Loglevel
系统日志服务:
syslogd: system
klogd: kernel
rsyslog:
syslog
klogd
rsyslog:
多线程
UDP, TCP, SSL, TLS, RELP;
MySQL, PGSQL, Oracle实现日志存储
强大的过滤器,可实现过滤日志信息中心的任何部分
自定义日志输出格式
日志收集方:
facility:从功能或程序上对日志进行分类:
auth,authpriv, cron, daemon, kern, lpr, mail, news, security, user, uucp, local0-local7,syslog
priority
debug, info, notice, warn(warning), err, crit, alert, emerg(panic)
指定级别:
*:所有级别
none:没有级别
priority:此级别及更高级别
=priority: 此级别
facility.priority /var/log/messages
程序环境:
主程序: rsyslogd
配置文件: /etc/rsyslog.conf
脚本服务: /etc/rc.d/init.d/rsyslog
rsyslog.conf
RULES:
facility.priority target
target:
文件路径: 记录于指定的日志文件中,通常应该在/var/log目录下:文件路径前的"-"表示异步写入
用户: 将日志通知给指定用户
*: 所有用户
日志服务器: @host
host: 必须监听在tcp或udp协议的514端口上提供服务
管道: |COMMAND
文件记录的日志格式:
事件产生的日期时间 主机
有些日志记录二进制格式:/var/log/wtmp, /var/log/btmp
/var/log/wtmp: 当前系统上成功登录的日志
last 命令查看
/var/log/btmp: 当前系统上失败的登录尝试
lastb
lastlog命令: 显示当前系统上每一个用户最近一次登录的时间
rsyslog服务器在配置文件开启如下选项:
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides UDP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
配置使用基于MySQL存储日志信息:
(1) 准备好MySQL服务器, 创建用户,授权对Syslog数据库的所有权限:
GRANT ALL ON Syslog.* to 'syslog'@'服务器地址' IDENTIFIED BY 'password';
(2) 安装rsyslog-mysql程序包
(3) 安装rsyslog-mysql以来的数据库
# mysql -uUSERNAME -hHOST -p < /usr/share/doc/rsyslog-mysql-VERSION/createDB.sql
(4) 配置rsyslog使用ommysql模块
##### MODULES #####
$ModLoad ommysql
##### RULES #####
facility.priority :ommysql:DBHOST,DB,USER,USERPASSWD
重启rsyslog服务
(5) 安装loganalyzer
a. 配置webserver,支持php
b. loganalyzer
# cp -r src /var/www/html/loganalyzer
# cp contribute/*.sh /var/www/html/loganalyzer
# chmod +x ./*.sh
# ./configure.sh
# ./secure.sh
# chmod 666 config.php