linux日志转发给syslog

syslog之⼀：Linuxsyslog⽇志系统详解# ⼀、syslog简介syslog是⼀种⼯业标准的协议，可⽤来记录设备的⽇志。

在UNIX系统，路由器、交换机等⽹络设备中，系统⽇志(System Log)记录系统中任何时间发⽣的⼤⼩事件。

管理者可以通过查看系统记录，随时掌握系统状况。

UNIX的系统⽇志是通过syslogd这个进程记录系统有关事件记录，也可以记录应⽤程序运作事件。

通过适当的配置，我们还可以实现运⾏syslog 协议的机器间通信，通过分析这些⽹络⾏为⽇志，藉以追踪掌握与设备和⽹络有关的状况。

功能：记录⾄系统记录。

# ⼆、syslog服务与配置2.1、安装syslog软件包软件包名称为：rsyslog-5.8.10-10.el6_6.x86_64我⽤的是centos系统，配置的有第三⽅的yum源，我直接yum install直接装就OK了装完后⽤ rpm -qa | grep syslog下看是否已安装2.2、syslog⽇志系统可以根据程序详细信息的不同定义不同的⽇志级别2.3、Linux上的⽇志系统分为：syslog和syslog-ng（syslog⽇志系统的升级版）2.4、syslog服务：syslog服务进程分两个，分别是：syslogd（系统，⾮内核产⽣的⽇志）和klogd（专门记录内核产⽣的⽇志）kernel-->物理终端（/dev/console）-->/var/log/dmesg 其中/var/log/dmesg⽂件可以使⽤dmesg命令和cat查看⽂件内容⽇志滚动（⽇志切割）：所谓的滚动是指历史信息所保存的⽇志，如;messages⽂件⽇志会越来越⼤等到了某⼀段时间，会把messages⽂件重新命名为messages.1，系统并重新创建messages⽂件，所以叫做⽇志滚动/sbin/init/var/log/messages:系统标准错误⽇志信息；⾮内核产⽣的引导信息，各⼦系统产⽣的信息/vat/log/maillog:邮件系统产⽣的⽇志信息/vat/log/secure:安全相关log系统⾃带的⽇志切割程序logrotatelogrotate脚本配置⽂件[root@localhost cron.daily]# pwd/etc/cron.daily[root@localhost cron.daily]# vim logrotate滚动⽇志信息配置⽂件[root@localhost cron.daily]# pwd/etc/cron.daily[root@localhost cron.daily]# vim /etc/logrotate.conf# see "man logrotate"for details# rotate log files weeklyweekly #每周滚动⼀次# keep 4 weeks worth of backlogsrotate 4 #只保留4个切割版本⽂件，超过后清除# create new (empty) log files after rotating old onescreate #滚动完之后创建⼀个空的新的⽂件# use date as a suffix of the rotated filedateext# uncomment this if you want your log files compressed#compress# RPM packages drop log rotation information into this directoryinclude /etc/logrotate.d #包括/etc/logrotate.d 下的⽂件，⼿动添加可直接添加到此⽬录# no packages own wtmp and btmp -- we'll rotate them here/var/log/wtmp{monthly #按⽉，⾃⼰定义create 0664 root utmp #创建⽂件并0664权限minsize 1M #最新1Mrotate 1 #保留⼏个版本}/var/log/btmp{missingokmonthlycreate 0600 root utmprotate 1}# system-specific logs may be also be configured here.[root@localhost cron.daily]#syslog配置⽂件/etc/rsyslog.conf注：centos 6 的配置⽂件是/etc/rsyslog.conf，centos5的配置⽂件是/etc/syslog.conf2.5、配置⽂件定义格式为facility.priority actionfacility是指哪个facility来源产⽣的⽇志； priority是指拿个级别的⽇志；action是指产⽣⽇志怎么办是保存在⽂件中还是其他。

linux rsyslog 发日志rsyslog 是Linux 系统上常用的日志系统，它能够收集、处理和转发系统日志，并且支持多种协议和格式。

在rsyslog 中，日志消息被解析并组织成结构化的数据，以便于搜索、分析和可视化。

以下是一些关于如何在Linux 上使用rsyslog 发送日志的步骤：1. 安装rsyslog在大多数Linux 发行版中，rsyslog 已经预装了。

如果没有预装，可以使用包管理器安装它。

例如，在Ubuntu/Debian 上可以使用以下命令安装rsyslog：```sqlsudo apt-get updatesudo apt-get install rsyslog```2. 配置rsyslogrsyslog 的主要配置文件是`/etc/rsyslog.conf`。

这个文件定义了日志的输入、输出和过滤规则。

你可以使用文本编辑器打开这个文件并对其进行配置。

在配置文件中，你可以定义日志的输入源、日志格式、日志存储位置以及日志过滤规则。

例如，以下配置将syslog 守护进程作为输入源，将日志写入到/var/log/syslog 文件中，并使用默认的日志格式：```bash# /etc/rsyslog.conf# Global configurationglobal {# 设置默认日志格式# 使用默认的日志格式，输出内容如下：# [local0]:33654 Aug 29 14:29:11 server01 /var/log/syslog defaultNetstreamDriver gtls # use gtls driver for encrypted syslog defaultNetstreamDriverParms "sec=隐私级别=TLSv1.2" # TLS security setup}# Rules for logging messages to syslog# 在这里定义日志过滤规则，将符合规则的日志消息写入到syslog 文件中if $fromhost-ip (ip("X.X.X.X") and port(514)) then { # 从指定IP 地址发送的日志消息被转发到syslog 文件action(type="omfwd" target="127.0.0.1" port="514" protocol="udp") # 将日志消息转发到本地主机上的syslogd 服务} else if $fromhost-ip (ip("Y.Y.Y.Y") and port(514)) then { # 从另一个指定IP 地址发送的日志消息被转发到syslog 文件action(type="omfwd" target="127.0.0.1" port="514" protocol="udp") # 将日志消息转发到本地主机上的syslogd 服务} else { # 其他情况下的日志消息不会被转发到syslog 文件}```。

syslog系统日志应用1) 概述syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf文件。

程序，守护进程和内核提供了访问系统的日志信息。

因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。

几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据 syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。

意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。

通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。

/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。

2) etc/syslog.conf文件格式： facility.level actionfacility.level为选择条件本身分为两个字段，之间用一个小数点分隔。

action和facility.level之间使用TAB隔开。

前一字段是一项服务，后一字段是一个优先级。

选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。

在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。

action字段所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。

要素分析：facility 指定 syslog 功能，主要包括以下这些：kern 内核信息，首先通过 klogd 传递；user 用户进程；mail 邮件；daemon 后台进程；authpriv 授权信息；syslog 系统日志；lpr 打印信息；news 新闻组信息；uucp 由uucp生成的信息cron 计划和任务信息。

在Linux系统中，syslog是一种广泛使用的日志记录协议。

syslog 服务器接收并保存系统日志，以便后续分析和报告。

当需要将日志从一台机器转发到另一台机器时，可以使用syslog的转发功能。

以下是在Linux系统中使用syslog进行转发的步骤：1. 配置发送端：在发送端机器上，需要配置syslog服务器将日志发送到目标服务器。

这可以通过修改/etc/rsyslog.conf文件来完成。

找到下面这样的行并取消注释：```bash$ModLoad imudp$UDPServerRun 514```这将启用rsyslog守护进程监听UDP端口514，并将日志发送到目标服务器。

2. 配置接收端：在接收端机器上，需要配置syslog服务器接收来自其他机器的转发日志。

这可以通过编辑/etc/rsyslog.conf文件来完成。

找到下面这样的行并取消注释：```bash$ModLoad imudp$UDPServerRun 514```这将启用rsyslog守护进程监听UDP端口514，并接收来自其他机器的转发日志。

3. 重启rsyslog服务：在发送端和接收端机器上，需要重启rsyslog服务以使配置更改生效。

可以使用以下命令重启rsyslog服务：```shellsudo systemctl restart rsyslog```4. 测试转发功能：现在，应该已经配置好了syslog转发。

可以使用以下命令测试转发功能是否正常工作：```shelllogger -n <接收端IP地址> -u UDP514 "Hello, world!"```如果一切正常，您应该能够在接收端机器的syslog日志文件中看到刚刚发送的消息。

Syslog⽇志中⼼服务器收集windows和linux客户端⽇志Syslog⽇志中⼼服务器收集windows和linux客户端⽇志Vdi环境下，虚拟机太多，我们不可能⼀台⼀台登录到虚机⾥⾯看⽇志，配置⼀台⽇志中⼼服务器，收集、管理虚机的⽇志是最好的⽅法；这⾥介绍在windows下使⽤nxlog⽇志上传⼯具（在win7、server2008、2012上测试通过），并且占⽤的资源很⼩(见图)； linux下使⽤⾃带的syslog(Ubuntu14、12，centos7、6.5、6.4、6.3测试通过)，并指向syslog中⼼⽇志服务器，在syslog中⼼⽇志服务器上就能对⼤量虚机的⽇志进⾏管理了。

（⼀）客户端配置（1）Windows Nxlog客户端配置：附件安装包：这款软件可以在32位和64位os上安装。

安装好的位置如下图：⽰例是32位操作系统安装好后修改配置⽂件：打开conf⽂件夹下 nxlog.conf⽂件，按下图注释位置修改：1）填⼊⽂件安装路径(注意32位和64位os的路径不⼀样)2）使⽤udp协议3）接受消息的地址4）514端⼝配置好后启动nxlog服务，设成⾃动启动Nxlog在server2008下占⽤的资源图：（2）Linux下syslog客户端配置：修改配置⽂件：#vi /etc/rsyslog.conf在最后⼀⾏加⼊：*.* @169.169.169.169:514 #将所有消息发送到该地址重启服务：#service rsyslog restart（⼆）Syslog中⼼⽇志服务器配置：1）修改rsyslog.conf⽂件：#vi /etc/rsyslog.conf去掉$ModLoad imudp和 $UDPServerRun 514两⾏前⾯的注释#号2）# service rsyslog restart3）# ip net# ip net exec qrouter-1f6fafcf-8b73-4f59-9a38-b176b3649cac #需要修改qrouteriptables -t nat -A neutron-l3-agent-PREROUTING -p udp -d 169.169.169.169 --dport 514 -j DNAT --to 192.168.201.13:514#***********将发送到169.169.169.169 514端⼝的消息转发到syslog中⼼⽇志服务器192.168.201.13:514 需要修改成syslog中⼼⽇志服务器的IP和端⼝***********##service iptables restart验证：Syslog中⼼⽇志服务器上能看到时间⽇期计算机名事件代码的⽇志信息，跟windows下对⽐是⼀致的，这样在syslog服务器上就能实时看到Windows虚拟机的⽇志了，只要Windows虚机产⽣⽇志，都会马上传到syslog服务器上下图是Syslog客户端发送的消息Syslong中⼼⽇志服务器收到消息，可以看到虚机neustor的⽇志信息，跟syslog客户端发来的⼀致注：⽇志发送的是计算机名，如果虚机计算机名是⼀样的就⽆法辨别了，所以虚机计算机名需要修改，NewName.bat的作⽤是修改计算机名的，运⾏⼀次重启后随机⽣成计算机名；如果是⼤批量的创建虚拟机，可以将该批处理放在windows启动项，然后做成镜像，再创建虚拟机，虚机建好后⽣成的计算机名不⼀样，解决发送到syslog服务器⽇志重名⽆法辨别是哪台机器的问题。

Linux系统日志管理工具介绍使用rsyslog和syslogngLinux系统日志管理工具介绍使用rsyslog和syslog-ngLinux系统日志对于系统管理和故障排除非常重要。

为了帮助管理员更有效地管理系统日志，Linux提供了多个日志管理工具。

本文将介绍两个主要的Linux系统日志管理工具：rsyslog和syslog-ng。

一、rsyslogrsyslog是Linux上的默认系统日志守护进程。

它是标准syslog守护进程的升级版本，提供了更强大的功能和灵活性。

以下是rsyslog的一些主要特点：1. 高度可配置：rsyslog提供了丰富的配置选项，允许管理员灵活地定义日志记录规则和目标。

2. 支持统一的远程日志管理：rsyslog可以将日志发送到远程服务器，方便集中管理和分析。

3. 强大的过滤功能：rsyslog提供了强大的过滤功能，可以根据不同的条件过滤日志条目，以便更好地跟踪和分析特定事件。

4. 可靠性和高性能：rsyslog被广泛用于生产环境中，具有良好的稳定性和高性能。

二、syslog-ngsyslog-ng是另一个流行的Linux系统日志管理工具。

它是syslog的替代品，提供了更多的功能和配置选项。

以下是syslog-ng的一些主要特点：1. 灵活的日志收集和路由：syslog-ng允许管理员从多个源收集日志，并根据配置规则将日志路由到指定的目标。

2. 多种日志格式支持：syslog-ng支持多种常见的日志格式，例如JSON、CSV等，方便管理员的日志分析和处理。

3. 可扩展性：syslog-ng提供了插件机制，可以扩展其功能，例如添加新的日志源或目标。

4. 多平台支持：syslog-ng支持多个操作系统平台，包括Linux、Unix和Windows。

在实际使用中，rsyslog和syslog-ng都可以满足大多数日志管理需求。

管理员可以根据自己的具体情况选择合适的工具。

Linux下syslog日志函数使用许多应用程序需要记录它们的活动。

系统程序经常需要向控制台或日志文件写消息。

这些消息可能指示错误、警告或是与系统状态有关的一般信息。

例如，su程序会把某个用户尝试得到超级用户权限但失败的事实记录下来。

通常这些日志信息被记录在系统文件中，而这些系统文件又被保存在专用于此目的的目录中。

它可能是/usr/adm或/var/log目录。

对一个典型的Linux安装来说，文件/var/log/messages 包含所有系统信息，/var/log/mail包含来自邮件系统的其他日志信息，/var/log/debug可能包含调试信息。

你可以通过查看/etc/syslog.conf文件来检查系统配置。

下面是一些日志信息的样例：这里，我们可以看到记录的各种类型的信息。

前几个是Linux内核在启动和检测已安装硬件时自己报告的信息。

接着是任务安排程序cron报告它正在启动。

最后，su程序报告用户neil 获得了超级用户权限。

查看日志信息可能需要有超级用户特权。

有些UNIX系统并不像上面这样提供可读的日志文件，而是为管理员提供一些工具来读取系统事件的数据库。

具体情况请参考系统文档。

虽然系统消息的格式和存储方式不尽相同，可产生消息的方法却是标准的。

UNIX规范为所有程序提供了一个接口，通过syslog函数来产生日志信息：syslog函数向系统的日志工具发送一条日志信息。

每条信息都有一个priority参数，该参数是一个严重级别与一个设施值的按位或。

严重级别控制日志信息的处理，设施值记录日志信息的来源。

定义在头文件syslog.h中的设施值包括LOG_USER（默认值）——它指出消息来自一个用户应用程序，以及LOG_LOCAL0、LOG_LOCAL1直到LOG_LOCAL7，它们的含义由本地管理员指定。

严重级别按优先级递减排列，如表4-6所示。

表4-6优先级说明LOG_EMERG紧急情况LOG_ALERT高优先级故障，例如数据库崩溃LOG_CRIT严重错误，例如硬件故障LOG_ERR错误LOG_WARNING警告LOG_NOTICE需要注意的特殊情况LOG_INFO一般信息LOG_DEBUG调试信息根据系统配置，LOG_EMERG信息可能会广播给所有用户，LOG_ALERT信息可能会EMAIL给管理员，LOG_DEBUG信息可能会被忽略，而其他信息则写入日志文件。

linux syslogd转发日志解析英文版Linux Syslogd Log Forwarding and ParsingIntroductionIn the Linux ecosystem, syslogd is a crucial component responsible for managing system logs. These logs record various events and messages generated by the system, daemons, and other applications. When managing a large network of Linux machines, it's often necessary to centralize the logging to a single location for ease of monitoring and analysis. This is where log forwarding comes into play.Log Forwarding with SyslogdLog forwarding allows you to send logs from one system to another, typically to a centralized logging server. In Linux, this is achieved using the syslogd daemon, which can be configured to forward logs to a remote server. Configuration is typically donethrough the /etc/syslog.conf file or its modern replacement, rsyslog.conf.To enable log forwarding, you would add a line like the following to the configuration file:bashCopy *.* @remote_server:514*.* @remote_server:514This directive tells syslogd to send all logs (*.*) to the remote server (remote_server) on port 514, which is the default UDP port for syslog messages.Log ParsingOnce the logs are forwarded to a central server, it becomes necessary to parse and analyze them effectively. This is where log parsing tools come into the picture. Tools like logrotate, logwatch, and rsyslog with its own parsing capabilities can help you analyze and manage the incoming logs.For example, rsyslog can be configured with filters and actions to parse logs based on specific patterns or criteria. Thisallows you to identify issues, trends, or any other relevant information from the logs.ConclusionLinux syslogd provides a robust framework for managing and forwarding system logs. By configuring log forwarding and leveraging parsing tools, system administrators can gain valuable insights into the health and performance of their networks. This not only helps in proactive monitoring but also in troubleshooting potential issues.中文版Linux Syslogd日志转发与解析介绍在Linux生态系统中，syslogd是一个负责管理系统日志的关键组件。