rsyslog服务流程简介
rsyslog是syslog的升级版,是一种日志管理服务,应用,操作系统一般有以上三种方法来使用rsyslog服务。
rsyslog.conf配置里的内容决定了/var/log里的内容
rsyslog.conf配置介绍
rsyslog.conf配置可能会引用另外一个配置路径:
$IncludeConfig /etc/rsyslog.d/*.conf
表示会读取/etc/rsyslog.d路径下所有.conf的配置文件
其中最重要的配置形如:
左边的叫SELECTORS,也就是上页说的日志类别
右边的叫ACTIONS,也就是上页说的处理方法
SELECTORS用分号;分割多个类别,每个类别的组成格式为 设施.优先级(后面详细介绍)
ACTIONS对于左边选择好的日志,有多种处理方法,图中全部是写入日志文件(-表示不同步写入,提升性能)
rsyslog.conf配置介绍-SELECTORS介绍
SELECTORS用分号;分割多个类别,每个类别的组成格式为 设施.优先级(后面详细介绍)
设施:
auth, authpriv:认证授权和安全相关的消息
kern:来自Linux内核的消息
mail:邮件服务系统的各种组件
mark:防火墙标记
cron:周期任务计划相关的信息
daemon:守护进程产生的信息
news:网络消息
lpr:打印相关的日志信息
user:用户进程相关的信息
syslog:rsyslog自身的日志
local0 to local7:保留,本地使用
优先级:
debug:包含详细的开发情报的信息,通常只在调试一个程序时使用
info:情报信息,正常的系统消息,比如骚扰报告,带宽数据等,不需要处理
notice: 不是错误情况,也不需要立即处理
warning: 警告信息,不是错误,比如系统磁盘使用了85%等
err:错误,不是非常紧急,在一定时间内修复即可
crit:重要情况,如硬盘错误,备用连接丢失
alert:应该被立即改正的问题,如系统数据库被破坏,ISP连接丢失
emerg:紧急情况,需要立即通知技术人员
设施和优先级都可以使用*表示通配,用none表示全部过滤,也可以使用=或者!做更精细的选择
rsyslog.conf配置介绍-ACTIONS介绍
ACTIONS有多种处理方法可选,还可以通过插件拓展
整理自:https://man7.org/linux/man-pages/man5/rsyslog.conf.5.html
Linux系统日志介绍
Linux系统日志介绍-重要服务介绍
Linux系统的日志经过精简后主要分为两大类,诊断日志和审计日志,审计日志包括安全,审计,用户等日志,诊断日志包括内核,系统,启动日志等。
注:messages为系统日志的说法并不准确,主要是因为该日志配置了*.info,所以会介绍大部分的info日志,其中比较重要的是systemd服务日志。
系统正在运行的服务可以通过执行命令查看:systemctl list-units --type=service --state=running
其他
-
推荐使用Linux自带的logger调试rsyslog,可以自定义设施与优先级,将日志定向发送到对应的ACTIONS里。
logger -i --id=1000 -p daemon.info testtt -t xxxx
image.png - 日志的格式有多种规范,定义每一个字段的格式,比如RFC5424(https://tools.ietf.org/pdf/rfc5424.pdf)
image.png - 可以选择比较重要的系统服务日志来研究;
- secure内的日志是Linux自带的安全模块写的,audit.log是由第三方软件auditd写的(已经成为redhat的默认软件了),secure的信息比audit.log更简洁;
- rsyslog支持大量的源(通过调用syslog()将日志写到/dev/log实现),并且支持大量的ACTIONS,比如常见的的HDFS,Kafka等都支持;
-
rsyslog跟Flume/Filebeat采集器比起来:
优势:
1. 大量非标准的设备和系统都支持syslog();
2. 源在调用syslog()时,通过指定RFC日志规范,更容易输出标准格式的日志;
劣势:
1. 跟源系统耦合较紧,要求源系统引用rsyslog库;
2. 缺乏统一管理平台
image.png
