了解rsyslog服务

September 28th 2017 | 技术

了解rsyslog服务
1、rsyslog介绍(略)

2、rsyslog配置文件

  配置文件/etc/rsyslog.conf大概分为三个部分

  #MODULES

  这个部分是针对接收配置的,主要是指定接收日志的协议和端口。若要配置日志服务器,则需要将相应的配置项去掉注释。

  #GLOBAL DIRECTIVES

  这个部分主要用来配置模板,模板的作用是指定你希望在日志文件中保存的日志格式。

  默认配置为:


# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

  这里列举一个模板,将所有信息保存:

这里第一行(为了方便显示,参数写成了一列)是模板,即日志服务器记录到日志文件的格式

第二行是指定需要使用的模板myFormat,这个名字可以自己定义

$template myFormat,"%TIMESTAMP% host=%HOSTNAME%,
                   relayHost=%FROMHOST%,
                   tag=%syslogtag%,
                   programName=%programname%,
                                procid=%PROCID%,
                                facility=%syslogfacility-text%,
                                sev=%syslogseverity-text%,
                                appName=%APP-NAME%,
                                msg=%msg%\n"
$ActionFileDefaultTemplate myFormat

  模板额外说明:

在rsyslog7 和更高版本使用以下格式:


template(name="scalaLogFormat" type="list") {
        property(name="timestamp" dateFormat="rfc3339")
        constant(value=" host=")
        property(name="hostname")
        constant(value=", relayHost=")
        property(name="fromhost")
        constant(value=", tag=")
        property(name="syslogtag")
        constant(value=", programName=")
        property(name="programname")
        constant(value=", procid=")
        property(name="procid")
        constant(value=", facility=")
        property(name="syslogfacility-text")
        constant(value=", sev=")
        property(name="syslogseverity-text")
        constant(value=", appName=")
        property(name="app-name")
        constant(value=", msg=")
        property(name="msg" )
        constant(value="\n")
        }

  ### begin forwarding rule

  这个模块主要讲一下转发

  #. @@remote-host:514

  根据这个实例可以看出,分为4个部分[模块.等级] [转发协议][日志服务器地址]:[日志服务器端口],其中转发协议的参数@@为TCP协议,对应的接收端也需要配置接受TCP协议。@为UDP协议。

  注:使用TCP协议,若地址错误或不能连同的情况,转发的协议会写入缓存,但是不用担心会卡死服务器,当到达一定限度后会自动转存到硬盘,这个不是我们应该关心的部分,使用就好了。

说明:

  针对rsyslog.conf配置文件的所有操作都需要重启服务生效(service rsyslog restart)

  在新版本的rsyslog中,对日志发送有默认限速,如果有集中大量推送日志的情况,需要在配置文件中加上参数$SystemLogRateLimitInterval 0(具体位置没有影响,但通常写在GLOBAL DIRECTIVES模块)

  通常来说,日志推送到服务器的协议使用UDP

#rsyslog