Compartir tecnología

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

registro rsys

1. ¿Qué es rsyslog?

rsyslog es un alto rendimientomanejador de registros , capaz de recibir, procesar y reenviar mensajes de registro. Se usa ampliamente en sistemas UNIX y Linux para el registro y la administración del sistema.

2. Funciones principales de rsyslog

1. alto rendimiento: Capaz de procesar una gran cantidad de mensajes de registro, adecuado para necesidades de gestión de registros a gran escala.
2. Arquitectura modular: Admite una variedad de módulos de entrada y salida y puede ampliar funciones de manera flexible.
3. Filtrado y reescritura de registros: Admite reglas complejas de filtrado y reescritura de registros para facilitar el control preciso del flujo de registros.
4. Admite múltiples protocolos: Capaz de manejar múltiples protocolos de transmisión de registros, como TCP, UDP, TLS, etc.
5. seguridad: Admite transmisión cifrada y autenticación para garantizar la seguridad de los mensajes de registro.

3. Configuración básica de rsyslog

El archivo de configuración para rsyslog generalmente se encuentra en /etc/rsyslog.conf o/etc/rsyslog.d/ Bajo contenidos. Su archivo de configuración adopta una estructura de reglas-acciones.

Orden:

systemctl status rsyslog.service

Ejemplo de configuración

# 基本格式
# :规则:动作

# 接收本地日志并写入文件
*.* /var/log/all.log

# 接收远程日志（UDP）并写入文件
$ModLoad imudp
$UDPServerRun 514
*.* /var/log/remote.log

# 接收远程日志（TCP）并写入文件
$ModLoad imtcp
$InputTCPServerRun 514
*.* /var/log/remote_tcp.log

# 基于消息优先级的日志过滤
authpriv.* /var/log/secure.log

# 基于消息内容的日志过滤
:msg, contains, "error" /var/log/error.log

4. Prioridad de registro e instalaciones.

rsyslog utiliza funciones y prioridades para clasificar y procesar mensajes de registro.

instalación

Las instalaciones comunes incluyen:

• auth, authpriv: mensajes relacionados con autenticación y seguridad
• cron: mensajes relacionados con tareas programadas
• demonio: mensajes relacionados con el proceso en segundo plano del sistema
• kern: mensajes relacionados con el kernel
• correo: mensajes relacionados con el sistema de correo
• syslog: mensajes relacionados con el procesamiento de registros internos

prioridad

La prioridad de mayor a menor incluye:

• emerg: Situación de emergencia que requiere notificación inmediata a todos los usuarios
• alerta: un problema que debe abordarse de inmediato
• crítico: situación grave
• errar: error
• advertencia: advertencia
• aviso: noticias ordinarias pero importantes
• información: mensaje informativo
• depuración: mensaje de depuración

5. Comandos comunes

• Iniciar rsyslog：sudo systemctl start rsyslog
• Detener rsyslog：sudo systemctl stop rsyslog
• Reiniciar rsyslog：sudo systemctl restart rsyslog
• Verificar el estado de rsyslog：sudo systemctl status rsyslog
• Recargar configuración：sudo systemctl reload rsyslog

6. Funciones avanzadas

• Reenvío de registros: Reenviar mensajes de registro al servidor remoto
• Reescritura de registros: Modificar el contenido del mensaje de registro según las reglas
• Archivo de registro: Archivar mensajes de registro para ahorrar espacio de almacenamiento
• Análisis de registros: Integre herramientas de terceros para análisis y visualización de registros

Ejemplo de configuración

1. Configuración del cliente
   En el servidor del cliente, configure rsyslog para reenviar mensajes de registro al servidor de registro centralizado:

   # 配置远程日志传输（UDP）
   *.* @logs.example.com:514
   
   # 配置远程日志传输（TCP）
   *.* @@logs.example.com:514
   

2. configuración del servidor
   En el servidor de registro centralizado, configure rsyslog para recibir mensajes de registro de los clientes:

   # 加载输入模块
   $ModLoad imudp
   $UDPServerRun 514
   
   $ModLoad imtcp
   $InputTCPServerRun 514
   
   # 将接收到的日志写入文件
   *.* /var/log/centralized.log