ryslog工作流,輸入-處理-輸出。linux系統(tǒng)自帶的日志收集工具,依賴守護(hù)進(jìn)程。在linux系統(tǒng)中,/var/log/message,/var/log/cron,都是系統(tǒng)通過rsyslog收集的。我看了好多文章,都測(cè)試了一遍,整理了一下。
模塊
模塊modules,比如imfile.so,這個(gè)地方可以通過lsof |grep rsyslog來查看
module(load="imfile")#如果需要讀文件讀時(shí)候,需要加載imfile模塊
module(load="imtcp") # 開啟tcp,
input(type="imtcp" port="514")
規(guī)則:
facility.severity? ? target
local5.*? @@remote-host:514 ##local5下的所有類型通過tcp遠(yuǎn)程輸出
*.info;mail.none;authpriv.none;cron.none;local5.none;local6.none/var/log/messages##所有的info存入/var/log/message,但是cron,local5,local6不存儲(chǔ),這里是為了防止自定義的日志,寫入message,? 導(dǎo)致文件過大
facility
facility可以理解成日志類型,
auth #pam產(chǎn)生的日志,認(rèn)證日志
authpriv #ssh,ftp等登錄信息的驗(yàn)證信息,認(rèn)證授權(quán)認(rèn)證
cron #時(shí)間任務(wù)相關(guān)
kern #內(nèi)核
lpr #打印
mail #郵件
mark(syslog) #rsyslog服務(wù)內(nèi)部的信息,時(shí)間標(biāo)識(shí)
news #新聞組
user #用戶程序產(chǎn)生的相關(guān)信息
uucp #unix to unix copy, unix主機(jī)之間相關(guān)的通訊
local 1~7 #自定義的日志設(shè)備,這個(gè)地方我們業(yè)務(wù)自定義,測(cè)試期間用的local5
serverity,
debug #有調(diào)式信息的,日志信息最多
info #一般信息的日志,最常用
notice #最具有重要性的普通條件的信息
warning, warn #警告級(jí)別
err, error #錯(cuò)誤級(jí)別,阻止某個(gè)功能或者模塊不能正常工作的信息
crit #嚴(yán)重級(jí)別,阻止整個(gè)系統(tǒng)或者整個(gè)軟件不能正常工作的信息
alert #需要立刻修改的信息
emerg, panic #內(nèi)核崩潰等嚴(yán)重信息
properties,
屬性,可以理解為內(nèi)置變量,
msg #匹配message中的msg部分
rawmsg #從socket收到的信息,一般用來debug
rawmsg-after-pri #和rawmsg類似,但是syslog PRI被移除了
hostname #message的主機(jī)名
source #HOSTNAME的別名
fromhost #message來源的主機(jī)名,一般是用在relay chain中
fromhost-ip #同fromhost,不過獲取的是ip,這個(gè)地方在f
syslogtag #message的tag
programname #是tag的靜態(tài)部分,例如tag是named[123456],則programname是named,這個(gè)地方在php生成的消息的時(shí)候,會(huì)帶[]這種字符,做模板最好用這個(gè)
表達(dá)式:
contains 屬性包含指定的字符串
isequal 屬性等于指定的字符串
startswith 屬性由指定字符串開始
regex POSIX BRE 正則表達(dá)式
ereregex POSIX ERE 正則表達(dá)式
:fromhost-ip, isequal, "127.0.0.1" ?TestFormat
if $syslogfacility-text == 'local0' and $msg startswith 'DEVNAME' and ($msg contains 'error1' or $msg contains 'error0') then /var/log/somelog
模板
消息格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat ## 默認(rèn)<接收內(nèi)容的時(shí)間> <發(fā)送者的hostname> <$InputFileTag> <原始消息%msg%>
$template MsgFormat,"%msg%\n" ##只保留原始消息
###模板,給不同的類型配置模板,根據(jù)rule規(guī)則過濾,這個(gè)地方要和client約定好
template(name="NgAccessFormat" type="string"
string= "/data/log/ngaccessremote/%fromhost-ip%/%$YEAR%/%$MONTH%/%$DAY%.log"
)
template(name="NgErrorFormat" type="string"
string= "/data/log/ngerrorremote/%fromhost-ip%/%$YEAR%/%$MONTH%/%$DAY%.log"
)
template(name="PhpfpmFormat" type="string"
string= "/data/log/phpfpmremote/%fromhost-ip%/%$YEAR%/%$MONTH%/%$DAY%.log"
)
###這里要保證不同的日志不要命中同一個(gè)
:syslogtag,startswith,"errorng" ?NgErrorFormat;MsgFormat
:syslogtag,startswith,"access" ?NgAccessFormat;MsgFormat
:syslogtag,startswith,"phpfpm" ?PhpfpmFormat;MsgFormat
:syslogtag,startswith,"codelog" ?CodeLogFormat;MsgFormat
權(quán)限
###設(shè)置生成的文件權(quán)限,默認(rèn)是rwx------
$FileOwner root
$FileGroup root
$DirCreateMode 0755
$FileCreateMode 0755
$Umask 0022
隊(duì)列
這個(gè)隊(duì)列是對(duì)output而言,在輸出數(shù)據(jù)對(duì)時(shí)候,加緩存隊(duì)列,可以保證消息發(fā)送對(duì)端失敗對(duì)情況緩存起來。比如tcp遠(yuǎn)程發(fā)送消息的時(shí)候,對(duì)方宕機(jī),可以使消息緩存,網(wǎng)絡(luò)恢復(fù)就可以繼續(xù)發(fā)出。緩存分內(nèi)存,磁盤,還有內(nèi)存+磁盤。
direact:沒有隊(duì)列,默認(rèn)情況
disk:磁盤,這個(gè)情況下,如果傳輸失敗會(huì)在workdirectory下看到相應(yīng)記錄,我在測(cè)試的時(shí)候,把server的端口關(guān)掉,就可以模擬網(wǎng)絡(luò)失敗。可以通過tcpdump抓包來看。
LinkedList,FixedArray 內(nèi)存
$WorkDirectory /var/lib/rsyslog
$ActionQueueType LinkedList
$ActionQueueFileName local5 ###定義內(nèi)存,同時(shí)制定名字就是內(nèi)存+緩存的方式
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
local5.* @@ip:514
配置
在配置機(jī)器的時(shí)候,要注意兩個(gè)地方。
1,selinux狀態(tài),不要是mac模式,否則syslogd進(jìn)程沒辦法讀取imfile里定義的文件,即使777也沒用
2,如果需要tcp 或者udp,而且防火墻開了,記得開一下端口。telnet 一下
3,如果使用了內(nèi)存加磁盤的方式,注意一下默認(rèn)內(nèi)存限制。
官網(wǎng)地址
http://www.rsyslog.com/doc/v8-stable/
后續(xù)
這個(gè)只是完成了日志的收集,后面是用通用的elk,還是其他工具,待研究。
這個(gè)rsyslog是基于tcp,查網(wǎng)上資料都說帶寬性能好,logstash耗性能,后續(xù)會(huì)繼續(xù)壓測(cè),和性能測(cè)試。
