Compartilhamento de tecnologia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

log do rsys

1. O que é rsyslog

rsyslog é um alto desempenhomanipulador de log , capaz de receber, processar e encaminhar mensagens de log. É amplamente utilizado em sistemas UNIX e Linux para registro e gerenciamento do sistema.

2. Principais funções do rsyslog

1. alta performance: Capaz de processar um grande número de mensagens de log, adequado para necessidades de gerenciamento de log em grande escala.
2. Arquitetura modular: Suporta uma variedade de módulos de entrada e saída e pode expandir funções de maneira flexível.
3. Filtragem e reescrita de log: oferece suporte a regras complexas de filtragem e reescrita de logs para facilitar o controle preciso do fluxo de logs.
4. Suporta vários protocolos: Capaz de lidar com vários protocolos de transmissão de log, como TCP, UDP, TLS, etc.
5. segurança: Suporta transmissão e autenticação criptografadas para garantir a segurança das mensagens de log.

3. Configuração básica do rsyslog

O arquivo de configuração do rsyslog geralmente está localizado em /etc/rsyslog.conf ou/etc/rsyslog.d/ Em conteúdo. Seu arquivo de configuração adota uma estrutura de regras-ações.

Ordem:

systemctl status rsyslog.service

Exemplo de configuração

# 基本格式
# :规则:动作

# 接收本地日志并写入文件
*.* /var/log/all.log

# 接收远程日志（UDP）并写入文件
$ModLoad imudp
$UDPServerRun 514
*.* /var/log/remote.log

# 接收远程日志（TCP）并写入文件
$ModLoad imtcp
$InputTCPServerRun 514
*.* /var/log/remote_tcp.log

# 基于消息优先级的日志过滤
authpriv.* /var/log/secure.log

# 基于消息内容的日志过滤
:msg, contains, "error" /var/log/error.log

4. Prioridade e facilidades de registro

rsyslog usa recursos e prioridades para classificar e processar mensagens de log.

instalação

As instalações comuns incluem:

• auth, authpriv: mensagens relacionadas à autenticação e segurança
• cron: mensagens relacionadas a tarefas agendadas
• daemon: mensagens relacionadas ao processo em segundo plano do sistema
• kern: mensagens relacionadas ao kernel
• mail: mensagens relacionadas ao sistema de correio
• syslog: mensagens relacionadas ao processamento de log interno

prioridade

A prioridade de alta para baixa inclui:

• emerg: Situação de emergência que requer notificação imediata a todos os usuários
• alerta: um problema que precisa ser resolvido imediatamente
• crítico: situação grave
• errar: erro
• aviso: aviso
• aviso: notícias comuns, mas importantes
• informações: mensagem informativa
• depuração: mensagem de depuração

5. Comandos comuns

• Iniciar rsyslog：sudo systemctl start rsyslog
• Pare o rsyslog：sudo systemctl stop rsyslog
• Reinicie o rsyslog：sudo systemctl restart rsyslog
• Verifique o status do rsyslog：sudo systemctl status rsyslog
• Recarregar configuração：sudo systemctl reload rsyslog

6. Recursos avançados

• Encaminhamento de log: Encaminha mensagens de log para servidor remoto
• Reescrita de log: Modifique o conteúdo da mensagem de log de acordo com as regras
• Arquivo de registros: Arquive mensagens de log para economizar espaço de armazenamento
• Análise de registros: Integre ferramentas de terceiros para análise e visualização de logs

Exemplo de configuração

1. Configuração do cliente
   No servidor cliente, configure o rsyslog para encaminhar mensagens de log para o servidor de log centralizado:

   # 配置远程日志传输（UDP）
   *.* @logs.example.com:514
   
   # 配置远程日志传输（TCP）
   *.* @@logs.example.com:514
   

2. configuração do servidor
   No servidor de log centralizado, configure o rsyslog para receber mensagens de log dos clientes:

   # 加载输入模块
   $ModLoad imudp
   $UDPServerRun 514
   
   $ModLoad imtcp
   $InputTCPServerRun 514
   
   # 将接收到的日志写入文件
   *.* /var/log/centralized.log