syslog服务器可以用作一个网络中的日志监控中心,所有能够通过网络来发送日志的设施(包含了Linux或Windows服务器,路由器,交换机以及其他主机)都可以把日志发送给它。 通过设置一个syslog服务器,可以将不同设施/主机发送的日志,过滤和合并到一个独立的位置,这样使得你更容易地查看和获取重要的日志消息。
rsyslog 作为标准的syslog守护进程,预装在了大多数的Linux发行版中。在客户端/服务器架构的配置下,rsyslog同时扮演了两种角色:1.作为一个syslog服务器,rsyslog可以收集来自其他设施的日志信息;2.作为一个syslog客户端,rsyslog可以将其内部的日志信息传输到远程的syslog服务器。
在此,我们演示了在linux上如何通过rsyslog来配置一个中心化syslog服务器。 在进入详解之前,先温习一下syslog标准。
syslog标准基础
当通过syslog机制来收集日志时,有3个必须要考虑到的重要事情:
- 设施层级: 监听何种类型的进程
- 严重性 (优先) 级别: 收集何种级别的日志消息
- 目标: 发送或记录日志消息到何处
现在我们更加深入地了解一下配置是如何定义的。
设施层级定义了一种用来对内部系统进程进行分类的方法,linux中的一些常见的设施包括:
- auth: 身份验证相关的消息(登录时)
- cron: 进程或应用调度相关的消息
- daemon: 守护进程相关的消息(内部服务器)
- kernel: 内核相关的消息
- mail: 内部邮件服务器相关的消息
- syslog: syslog 守护进程本身相关的消息
- lpr: 打印服务相关的消息
- local0 – local7: 用户自定义的消息 (local7 通常被Cisco 和 Windows 服务器 使用)
严重性(优先)级别有固定的标准缩写和指代的值,其中的数字7具有最高的级别,这些级别包含了:
- emerg: Emergency(紧急)- 0
- alert: Alerts (报警)- 1
- crit: Critical (关键)- 2
- err: Errors (错误)- 3
- warn: Warnings (警告)- 4
- notice: Notification (通知)- 5
- info: Information (消息)- 6
- debug: Debugging (调试)- 7
最后,目标语句会让一个syslog客户端来执行以下三个任务之一:
- 保存日志消息到一个本地文件;
- 通过TCP/UDP将消息路由到远程的syslog服务器中;
- 将其发送到一个标准输出中,例如控制台。
在 rsyslog里, syslog的配置是基于以下模式进行结构化的。
[facility-level].[severity-level] [destination]
在Linux中配置Rsyslog
在我们理解syslog之后,现在可以通过rsyslog来将一个Linux服务器配置为一个中心syslog服务器了,另外我们也将看到如何在一个Windows的系统上配置一个syslog客户端来发送内部日志到该syslog服务器中。
第1步: 初始化系统需求
要将linux主机设置为一个中央日志服务器, 我们需要创建一个分离的 /var 分区,并分配足够大的磁盘空间或者创建一个特殊的LVM卷组。这样就会使得syslog服务器能够承担在日积月累收集日志所带来的潜在增长。
第2步: 让rsyslog 后台进程生效
rsyslog守护进程来自于当前的linux发布版本的预装模块,但是默认并没有启动。为了能够让rsyslog守护进程能够接受外部的消息,需要编辑其配置文件/etc/rsyslog.conf.
打开文件进行编辑,查找到下面的两行所在的位置,通过删除其行首的#字符来取消注释。
$ModLoad imudp
$UDPServerRun 514
这会使得rsysolog守护进程能够在UDP端口514上接受日志消息了
发表回复