Syslog获取log方法

通过filebeat、logstash、rsyslog采集nginx日志的几种方式由于nginx功能强大，性能突出，越来越多的web应用采用nginx作为http和反向代理的web服务器。

而nginx的访问日志不管是做用户行为分析还是安全分析都是非常重要的数据源之一。

如何有效便捷的采集nginx的日志进行有效的分析成为大家关注的问题。

本文通过几个实例来介绍如何通过filebeat、logstash、rsyslog采集nginx的访问日志和错误日志。

大家都知道ELK技术栈是采集、分析日志的利器。

所以这里介绍的是从nginx采集日志到ES。

当然至于日志采集以后存到看大家的需要。

通过logstash可以方便的配置日志输出存储的方式。

一般来说nginx默认安装后，日志文件在/usr/local/nginx/logs 目录下。

分别有 access.log和error.log 访问日志和错误日志。

这次示例Elasitcsearch是三个节点组成的集群172.28.65.22、172.28.65.23、172.28.65.24，172.28.65.30 是kibana的地址，172.28.65.32是数据采集服务器，上面装有logstash、nginx、filebeat。

一般来说采集服务器上有logstash，而nginx、 filebeat应该是装在采集目标上。

一、直接通过filebeat采集日志到ES在filebeat的安装目录找到filebeat.yml 配置获取日志文件的路径及输出到ES的配置。

具体：- type: log# Change to true to enable this input configuration.enabled: true# Paths that should be crawled and fetched. Glob based paths.paths:#- /var/log/*.log- /usr/local/nginx/logs/*.log#- c:\programdata\elasticsearch\logs\*如果需要在kibana中友好显示的化，可进行kibana配置输出到es中，在hosts中配置好你的ES服务地址。

设置 Syslog 日志服务器用来获取交换机日志（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置）注:配置日志服务器前先检查是否已安装了SYSLOG服务执行 ps -e |grep syslogd 查看进程是否存在没有安装 # apt-get install syslogd 安装,或下载用安装包H3C交换机的设置举例1. 组网需求将系统的日志信息发送到 linux 日志主机；日志主机的IP 地址为 1.2.0.1/16；信息级别高于等于 informational 的日志信息将会发送到日志主机上；日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。

2. 组网图3. 配置步骤(1) 设备上的配置。

# 开启信息中心。

<Sysname> system-view[Sysname] info-center enable# 指定向日志主机输出日志信息的通道为 loghost 通道。

[Sysname] info-center loghost 1.2.0.1 channel loghost# 关闭所有模块日志主机的 log、trap、debug 的状态。

[Sysname] info-center source default channel loghost debug state off log state off trap state off注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。

可以用display channel 命令查看通道的状态。

# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。

[Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。

用Syslog记录各种OS平台日志的方法用 Syslog 记录各种 OS 平台日志的方法在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

因此，在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。

本文以FreeBSD 下的syslog 为例，介绍如何利用 freebsd 的 syslogd 来记录来自 UNIX 和 windows 的 log 信息。

一、记录UNIX 类主机的log 信息首先需要对Freebsd 的syslog 进行配置，使它允许接收来自其他服务器的log 信息。

在/etc/rc.conf 中加入：syslogd_flags="-4 -a 0/0:*"说明：freebsd 的syslogd 参数设置放在/etc/rc.conf 文件的syslogd_flags 变量中Freebsd 对syslogd 的默认设置参数是syslogd_flags="-s"，(可以在/etc/defaults/rc.conf 中看到) 默认的参数-s 表示打开 UDP 端口监听，但是只监听本机的 UDP 端口，拒绝接收来自其他主机的 log 信息。

如果是两个 ss,即-ss，表示不打开任何 UDP 端口，只在本机用/dev/log 设备来记录 log. 修改后的参数说明： -4 只监听 IPv4 端口，如果你的网络是 IPv6 协议，可以换成-6 -a 0/0:* 接受来自所有网段所有端口发送过来的 log 信息。

如果只希望syslogd 接收来自某特定网段的log 信息可以这样写：-a 192.168.1.0/24:* -a 192.168.1.0/24:514 或者-a 192.168.1.0/24 表示仅接收来自该网段514 端口的log 信息，这也是freebsd 的syslogd 进程默认设置，也就是说 freebsd 在接收来自其他主机的 log 信息的时候会判断对方发送信息的端口，如果对方不是用 514 端口发送的信息，那么 freebsd 的 syslogd 会拒绝接收信息。

python 正则表达式工具syslog解析-回复读者在使用Python编程时，经常会遇到需要处理日志文件的情况。

例如，当我们需要从syslog文件中解析出特定的信息时，正则表达式是非常有用的工具。

本文将向读者介绍如何使用Python中的正则表达式来解析syslog文件，并提取出括号内的内容作为主题。

首先，让我们来了解什么是syslog文件。

Syslog是一种用于记录操作系统和应用程序活动的标准方法。

在大多数Unix、Linux和类Unix操作系统中，syslog文件通常存储系统日志消息，如警告、错误和系统事件等。

因此，解析syslog文件可以帮助我们对系统的运行状态进行监控和故障排除。

那么，我们将如何使用Python中的正则表达式来解析syslog文件呢？下面是一步一步的指南：第一步，我们需要打开syslog文件并读取其内容。

假设我们的syslog文件名为“syslog.txt”，我们可以使用以下代码来实现：pythonwith open("syslog.txt", "r") as f:content = f.read()第二步，我们可以使用正则表达式来搜索括号内的内容。

在syslog文件中，消息常常被括号包围，我们可以使用正则表达式来匹配这些括号内的内容。

以下是一个简单的正则表达式示例：pythonimport repattern = r"\[(.*?)\]"matches = re.findall(pattern, content)在上面的代码中，我们使用了Python的re库，它提供了一系列的函数来操作正则表达式。

我们定义了一个正则表达式模式，并使用re.findall函数来搜索匹配的内容。

这个模式使用了括号来表示我们希望提取的内容，并使用“.*？”来匹配任意字符，直到遇到下一个方括号为止。

最后，我们将匹配到的结果存储在一个列表中。

Linux下syslog日志函数使用许多应用程序需要记录它们的活动。

系统程序经常需要向控制台或日志文件写消息。

这些消息可能指示错误、警告或是与系统状态有关的一般信息。

例如，su程序会把某个用户尝试得到超级用户权限但失败的事实记录下来。

通常这些日志信息被记录在系统文件中，而这些系统文件又被保存在专用于此目的的目录中。

它可能是/usr/adm或/var/log目录。

对一个典型的Linux安装来说，文件/var/log/messages 包含所有系统信息，/var/log/mail包含来自邮件系统的其他日志信息，/var/log/debug可能包含调试信息。

你可以通过查看/etc/syslog.conf文件来检查系统配置。

下面是一些日志信息的样例：这里，我们可以看到记录的各种类型的信息。

前几个是Linux内核在启动和检测已安装硬件时自己报告的信息。

接着是任务安排程序cron报告它正在启动。

最后，su程序报告用户neil 获得了超级用户权限。

查看日志信息可能需要有超级用户特权。

有些UNIX系统并不像上面这样提供可读的日志文件，而是为管理员提供一些工具来读取系统事件的数据库。

具体情况请参考系统文档。

虽然系统消息的格式和存储方式不尽相同，可产生消息的方法却是标准的。

UNIX规范为所有程序提供了一个接口，通过syslog函数来产生日志信息：syslog函数向系统的日志工具发送一条日志信息。

每条信息都有一个priority参数，该参数是一个严重级别与一个设施值的按位或。

严重级别控制日志信息的处理，设施值记录日志信息的来源。

定义在头文件syslog.h中的设施值包括LOG_USER（默认值）——它指出消息来自一个用户应用程序，以及LOG_LOCAL0、LOG_LOCAL1直到LOG_LOCAL7，它们的含义由本地管理员指定。

严重级别按优先级递减排列，如表4-6所示。

表4-6优先级说明LOG_EMERG紧急情况LOG_ALERT高优先级故障，例如数据库崩溃LOG_CRIT严重错误，例如硬件故障LOG_ERR错误LOG_WARNING警告LOG_NOTICE需要注意的特殊情况LOG_INFO一般信息LOG_DEBUG调试信息根据系统配置，LOG_EMERG信息可能会广播给所有用户，LOG_ALERT信息可能会EMAIL给管理员，LOG_DEBUG信息可能会被忽略，而其他信息则写入日志文件。

Linux系统日志管理使用syslog和logrotate Linux系统由许多不同的组件组成，每个组件都会产生日志信息，这些日志是诊断和故障排除的重要工具。

为了有效地管理和存储这些日志，Linux系统提供了一些工具和技术。

本文将重点介绍syslog和logrotate这两个工具，它们在Linux系统日志管理中起到关键的作用。

一、syslogsyslog是Linux系统中的一个强大的日志管理器。

它负责收集、存储和传输各种系统日志信息。

syslog提供了一个标准化的接口，让不同的应用程序和服务都能将日志信息发送到同一个地方。

1. 配置syslogsyslog的配置文件位于/etc/syslog.conf。

通过编辑该文件，可以定义不同级别的日志信息应该被保存在哪个文件中。

例如，可以将错误级别的日志信息保存在一个独立的文件中，以便更方便地查找和分析。

2. 使用syslog在应用程序或服务的配置文件中，可以通过syslog将日志信息发送到syslog服务器。

这样，所有的日志信息都会被中心化地收集和管理，方便日后的分析和审查。

二、logrotatelogrotate是一个用于自动轮转日志文件的工具。

在Linux系统上，日志文件会不断地增大，如果不及时处理，将会占用大量的存储空间。

logrotate可以根据预定义的规则定期地对日志文件进行轮转，将旧的日志文件压缩或删除，以便释放存储空间。

1. 配置logrotatelogrotate的配置文件位于/etc/logrotate.conf。

通过编辑该文件，可以定义日志文件的轮转规则，包括轮转的频率、保留的历史日志文件数量等。

2. 使用logrotatelogrotate默认会按照配置文件中定义的规则对指定的日志文件进行轮转。

可以使用命令行工具`logrotate`手动执行轮转操作，也可以通过配置cron任务实现定期的自动轮转。

三、syslog和logrotate的配合使用syslog和logrotate是两个独立的工具，但它们可以很好地协作，完成对Linux系统日志的管理。

syslog详解及配置远程发送⽇志和远程⽇志分类syslog详解及配置远程发送⽇志和远程⽇志分类1、⽇志协议syslog# 1.1、syslog简介 完善的⽇志分析系统应该能够通过多种协议（包括syslog等）进⾏⽇志采集并对⽇志分析，因此⽇志分析系统⾸先需要实现对多种⽇志协议的解析。

其次，需要对收集到的海量⽇志信息进⾏分析，再利⽤数据挖掘技术，发现隐藏再⽇志⾥⾯的安全问题。

Syslog再UNIX系统中应⽤⾮常⼴泛，它是⼀种标准协议，负责记录系统事件的⼀个后台程序，记录内容包括核⼼、系统程序的运⾏情况及所发⽣的事件。

Syslog协议使⽤UDP作为传输协议，通过514端⼝通信，Syslog使⽤syslogd后台进程，syslogd启动时读取配置⽂件/etc/syslog.conf，它将⽹络设备的⽇志发送到安装了syslog软件系统的⽇志服务器，Syslog⽇志服务器⾃动接收⽇志数据并写到指定的⽇志⽂件中。

# 1.2、syslog⽇志格式syslog标准协议如下图： Syslog消息并没有对最⼩长度有所定义，但报⽂的总长度必须在1024字节之内。

其中PRI部分必须有3个字符，以‘<’为起始符，然后紧跟⼀个数字，最后以‘>’结尾。

在括号内的数字被称为Priority（优先级），priority值由Facility和severity两个值计算得出，这两个值的级别和含义见表1-1和表1-2。

下⾯是⼀个例⼦：<30>Oct 1020:30:10 fedora auditd [1780]: The audit daemon is exiting▶“<30>”是PRI部分，即Priority（优先级），取值范围0~191。

▶“Oct 10 20:30:10 fedora”是HEADER（报头部分）。

▶“auditd [1780]: The audit daemon is exiting”是MSG（信息）部分。

linux下syslog使用说明2012-09-26 15:43:36分类：LINUXsyslog 系统日志应用1) 概述syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf文件。

程序，守护进程和内核提供了访问系统的日志信息。

因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。

几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据 syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。

意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。

通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。

/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。

2) etc/syslog.conf/etc/syslog.conf 文件使用下面的格式：facility.level actionfacility.level为选择条件本身分为两个字段，之间用一个小数点（.）分隔。

action和facility.level之间使用TAB隔开。

前一字段是一项服务，后一字段是一个优先级。

选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。

在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。

action字段所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。

要素分析：facility 指定 syslog 功能，主要包括以下这些：kern 内核信息，首先通过 klogd 传递；user 用户进程；mail 邮件；daemon 后台进程；authpriv 授权信息；syslog 系统日志；lpr 打印信息；news 新闻组信息；uucp 由uucp生成的信息cron 计划和任务信息。