RSYSLOG没那么简单
定义系统默认的日志收集还算EASY。
但如何在公司项目里要配置程序员们写的自定义日志,那可能就要用到LOCAL及FILTER过滤这些东东了。。。
慢慢走吧。。
收集URL备用,都是讲LOCAL,TEMPLAT,FILTER比较好的CASE:
http://blog.sina.com.cn/s/blog_4a80a5730101m2b3.html
http://my.oschina.net/0757/blog/198329
http://wenku.baidu.com/link?url=tPJuftxO3EjGYKe77IH4rnjVAmjWju9_A1LTOrj0nBeigy7letgPq9nokXXizXB_95eoOsiKNBlViBClAnm3zgNruGOi3hLAY0kzjiyZueu
http://my.oschina.net/duxuefeng/blog/317570
http://blog.clanzx.net/2013/12/31/rsyslog.html
还有N多模块!!!
~~~~~~~~~~~~~~~
a. mysql支持
rsyslog很多功能都是以模块的形式实现的,比如这个mysql支持,首先在编译的时候我们必须将这个模块编译进去,然后在/etc/rsyslog.conf加载”$ModLoad ommysql“,然后在指定哪些日志需要存放在数据里。在使用mysql模块前,我们需要手工建库、定义表,这些步骤手册里都有详细说明,操作起来也不难。
b. filter(日志筛选)
filter是rsyslog的一大亮点,通常情况下,我们并不是所有的日志都要收集,比如我们只需要error以下级别的日志、或者我们再要包含特定内容的日志。灵活运用filter我们可以很轻易地实现这些需求。下面举几个例子,使用方法手册里有详细介绍:
1
2
|
:msg, contains,
"test_message"
/ var /log/test.log
&~ |
如果日志内容包含”test_message”就存放在/var/log/test.log中,”&~”的意思是丢弃,不做后续处理。即使后面还有”:msg, contains, “test_message” /var/log/test2.log”,这条日志也不会再存在test2.log中。
1
2
|
if
$msg
contains
‘test_message‘
then / var /log/test.log
&~ |
上面的例子的另一种写法,用if的好处是可以定义一些复杂的条件匹配
filter非常的实用,syslog中仅仅定义的local0~local7几个用户自定义的facility。使用filter我们轻松解决自定义facility不够用的问题
c. template
使用template定义日志格式模板,可以规范不通的类型的日志,很方便我们查看,使用起来也很简单,但是template的定义必须放在rsyslog.conf的顶端。
1
2
|
$template
myFormat, "%timestamp%
%hostname% %pri-text%
%msg%\n"
$ActionFileDefaultTemplate
myFormat |
第一行我们定义了一个名为myFormat的模板,第二行的意思是把我们定义的myFormat作为rsyslog的默认模板。如果只是需要在特定日志上套用这个模板可以这样写
1
|
$template
myFormat, "%timestamp%
%hostname% %pri-text%
%msg%\n" ;Format |
mkdir /data/apache/logs
chown apache:apache /data/apache/logs
/etc/rsyslog.conf文件最后添加
$template access_log, "%msg:2:$%\n"
$template error_log, "%msg%\n"
# web1-access-log
$template access_log_file_web1, "/data/apache/logs/%$NOW%/access-log/web1-access_log"
# web1-error-log
$template error_log_file_web1, "/data/apache/logs/%$NOW%/error-log/web1-error_log"
# web1-access-log
if $syslogfacility-text == ‘local6‘ and $syslogtag == ‘http-access:‘ and $fromhost-ip == ‘10.1.5.241‘ then -?access_log_file_web1;access_log
# web1-error-log
if $syslogfacility-text == ‘local6‘ and $syslogtag == ‘http-error:‘ and $fromhost-ip == ‘10.1.5.241‘ then -?error_log_file_web1;error_log
[root@master ~]# /etc/init.d/rsyslog restart
======================================================================
实例: 指定日志文件, 或者终端
======================================================================
[root@kadefor ule-sa3]# vi /etc/rsyslog.conf
[root@kadefor ule-sa3]# grep local3 !$
grep local3 /etc/rsyslog.conf
local3.* /var/log/local3.log
[root@kadefor ule-sa3]# rm -rf /var/log/local3.log
[root@kadefor ule-sa3]# /etc/init.d/rsyslog reload
Reloading system logger… [ OK ]
[root@kadefor ule-sa3]# ls /var/log/local3.log
/var/log/local3.log
[root@kadefor ule-sa3]# logger -t ‘LogTest’ -p local3.info ‘KadeFor is testing the rsyslog and logger’
[root@kadefor ule-sa3]# cat /var/log/local3.log
Jun 10 04:55:52 kadefor LogTest: KadeFor is testing the rsyslog and logger
[root@kadefor ule-sa3]#
自己实验日志发送给某个终端
======================================================================
实例: 过滤特定的日志到文件, 忽略(丢弃)包含某个字符串的日志
======================================================================
# 过滤日志, 由:号开头
:msg, contains, “error” /var/log/error.log
:msg, contains, “error” ~ # 忽略包含error的日志
:msg, contains, “user nagios” ~
:msg, contains, “user kadefor” ~
:msg, contains, “module-alsa-sink.c: ALSA woke us up to write new data to the device, but there was actually nothing to write” ~
local3.* ~
PS.
& ~ # 忽略所有的日志
把包含’oracle’的日志保存在/var/log/oracle.log
======================================================================
实例: 使用模板来定义日志格式
======================================================================
定义默认的日志格式:
-
$template myFormat,”%rawmsg%\n”
-
$ActionFileDefaultTemplate myFormat
-
#如果不要$ActionFileDefaultTemplate myFormat这一行, 就需要像这样来使用模板:
-
#在日志文件后添加模板名, 并用;号分隔
-
$template myFormat,”%rawmsg%\n”
-
# The authpriv file has restricted access.
-
authpriv.* /var/log/secure;myFormat
-
# Log all the mail messages in one place.
-
mail.* /var/log/maillog;myFormat
-
# Log cron stuff
-
cron.* /var/log/cron;myFormat
-
# Everybody gets emergency messages
-
*.emerg *
-
# Save news errors of level crit and higher in a special file.
-
uucp,news.crit /var/log/spooler;myFormat
-
# Save boot messages also to boot.log
-
local7.* /var/log/boot.log;myFormat
======================================================================
实例: remote log 远程发送与接收:
======================================================================
如果要修改为非514的端口, 需要设置selinux
只要在rsyslog.conf中加入
*.* @192.168.0.10
*.* @192.168.0.10:10514 # 带端口号
*.* @@192.168.0.10 # TCP
但是没有定义保存在远程的哪一个文件啊?
其实保存在什么文件, 那是远程日志服务器接收到日志之后它自己的事情了.