rsyslog研究——第一章 rsyslog整体架构

最新推荐文章于 2024-06-21 16:35:33 发布
最新推荐文章于 2024-06-21 16:35:33 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: 技术分享

最近因为工作需要研究了rsyslog,主要是把官网的文档看了一遍,因为学习的过程中,发现中文资料很少,所以研究的差不多以后,决定拿出来分享一下。

rsyslog官网的文档还是挺烂的(在我看完后,官网有了一次改版,可能好一些了),尤其是配置文件部分,每个版本都有改动,但是官网只有最新版本的参数介绍,好几次我按照文档的参数写配置文件,或者报错,或者参数不起作用,因此大家使用哪个版本的rsyslog,最好是下个该版本的源代码,以供核查参数是否准确。

本文的结构,来自我的内部分享。

使用的rsyslog版本为:7.2.5

第一章 rsyslog整体架构

我主要使用rsyslog来保证日志的可靠性传输,日志中心宕机,client端可以本地保存日志,因此rsyslog与数据库结合方面的知识在文章中没有涉及。

10231124-47833e3a70d24191aeb6435264c4392f.png 

Rsyslog架构,这是rsyslog官网上的一张图,用来介绍rsyslog的架构,rsyslog的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。

在这个流程图中,输入、输出、过滤三个部分称为module,输入模块有imklg、imsock、imfile。输出模块有omudp、omtcp、omfile、omprog、ommysql、omruleset(后两者我没有研究,本文不会涉及)。过滤模块研究不多,只会提到mmnormalize。

预处理模块主要解决各种syslog协议实现间的差异,举例说明如果日志系统client端使用rsyslog、server端使用syslog-ng,如果自己不做特殊处理syslog-ng是无法识别的。但是反过来,rsyslog的server端就可以识别syslog-ng发过来的消息。

Input模块包括imklg、imsock、imfile、imtcp等,是消息来源。

Filetr模块处理消息的分析和过滤,rsyslog可以根据消息的任何部分进行过滤,后面会介绍到具体的做法。

Output模块包括omfile、omprog、omtcp、ommysql等。是消息的目的地。

Queue模块负责消息的存储,从Input传入的未经过滤的消息放在主队列中,过滤后的消息放入到不同action queue中,再由action queue送到各个输出模块。

1.1启动参数

正常启动:指定-f和-i就可以了,新版本不需要-c 5 这样的参数。

  1. rsyslogd -f /root/rsyslog_worker_dir/rsyslog.conf -i /root/rsyslog_worker_dir/rsyslog.pid
复制代码

debug版本:debug消息会输出到标注输出,如果出现未预期的结果,可以尝试使用debug方式,查看处理流程

  1. rsyslogd -f /root/rsyslog_worker_dir/rsyslog.conf -i /root/rsyslog_worker_dir/rsyslog.pid -dn >debuglog
复制代码

测试配置文件是否正确:

  1. rsyslogd -N1 -f file
复制代码

rsyslog imfile 模块说明
zhaoyangjian724的专栏
12-30 2232
服务端rsyslog版本: Vsftp:/root# cat /etc/issue CentOS release 6.5 (Final) Kernel \r on an \m Vsftp:/root# rsyslogd -v rsyslogd 8.22.0, compiled with: PLATFORM: x86_64-redhat-linux-gnu [root@centos5 ~
rsyslog配置中支持的模块
xxx
03-01 921
加载模块本身是启用对传输日志消息的接收,但我们可能需要进一步配置以处理这些消息,例如过滤、转发到远程服务器等。要进一步配置如何处理来自 imjournal 模块的日志消息(例如过滤、转发到远程服务器等),需要添加其他配置,但加载模块本身是非常简单的。这些配置将告诉 rsyslog 监听指定的 UDP 或 TCP 端口,以接收来自远程主机的日志消息。模块用于从内核日志缓冲区中读取内核消息。rsyslog支持的模块可以在路径/usr/lib64/rsyslog中查看,如果不存在的模块,则无法使用。
rsyslog架构
浪子心声
11-07 1009
一、概述 一般syslog,syslog-ng,rsyslog用于收集系统日志,scribe和fluentd用于收集业务日志,rsyslog和syslog-ng也可以收集业务日志,并可定制和过滤、筛选。 二、架构
Rsyslog 基本结构
weixin_30640291的博客
12-06 180
基本结构 简介:   rsyslog是一个高度可定制化的日志和事件处理工具集。   信息在输入模块的处理下进入rsyslog,然后被传递到规则集,当成功被规则匹配值之后,信息将进行下一个环节,写入数据或文件或远程主机那里。 message处理的原则: (1)输入的message被提交到设置的规则部分,如果没有设置特别的规则,将应用默认的规则。 (2)默认的规则是RSYSLOG_...
Linux运维之(十八)rsyslog日志同步架构
qq_39682037的博客
05-24 1458
rsyslog日志同步架构(一主一从) 前期准备 centos7 (IP:192.168.91.134)---------->主日志接收端 centos7 (IP:192.168.91.135)---------->从日志发送端 配置过程 从日志发送端192.168.91.135 [root@host2 ~]# vi /etc/rsyslog.conf 注: @@ 表示通过 tcp 协议发送 @表示通过 udp协议发送 [root@host2 ~]# systemctl rest
rsyslog日志平台--日志工作流引擎
三禾工作室
01-28 7438
Linux下面自然的选择是rsyslog 一、基本配置实验 网上大量文章都不是很靠谱,测试平台CentOS7和loongxin系统,服务端为192.168.10.58(centos),客户端为192.168.14.211(loongson) 1. 客户端配置:客户端修改 /etc/rsyslog.conf 把尾部#*.* @@remote-host:514删除#,并把@@替换为@,remote-host替换为日志服务器主机IP即可; *.* @192.168.10.58:514 #UDP
Linux中阶—日志采集rsyslog(二)
亓荼的博客
04-19 2507
#rsyslog软件定义: rsyslog是多线程、高并发、模块化的日志系统,rsyslog的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。#软件架构如下: Input模块包括imklg、imsock、imfile、imtcp、imudp 等,是消息来源; Queue模块负责消息的存储,从Input传入的未经过滤的消息放在主队列中; Filetr模块处理消息的分析和过滤,rsyslog可以根据消息的任何部分进行过滤; action qu
Linux——常见问题大全
小顽固的博客
10-05 3122
1、计算机概论 ·根据本章内文的说明,请找出目前全世界跑的最快的超级计算机的:(1)系统名称(2)所在位置(3)使用的CPU型号与规格(4)总共使用的CPU数量(5)全功率操作1天时,可能耗用的电费(请上台电网站查询相关电价来计算)。 ·动动手实作题:假设你不知道你的主机内部的各项组件数据,请拆开你的主机机壳,并将内部所有的组件 拆开,并且依序列出: oCPU的厂牌...
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
《开源安全运维平台OSSIM最佳实践》实验环境下载
weixin_33712987的博客
07-28 1593
《开源安全运维平台OSSIM最佳实践》实验环境下载  由清华大学出版社首发、当当、京东自营店、天猫、亚马逊均有销售。                                          OSSIM开源安全交流QQ群: 179084574       经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书已出版。该书用100多万字记录了,作者10多年的IT行业...
Rsyslog server的搭建过程
weixin_45537413的博客
02-25 1052
一、安装rsyslog服务,初始设置 1. 如果没有rsyslog需要安装,并创建接受日志的文件夹 yum install rsyslog -y mkdir -pv /root/log 2. rsyslog的配置文件需要修改 [root@c3]# grep -v "^#" /etc/rsyslog.conf | grep -v "^$" $ModLoad imuxsock # provides support for local system logging (e.g. via log...
rsyslog小结.rar
10-18
rsyslog是一个C/S架构的服务,可监听于某套接字,帮其它主机记录日志信息,在linux系统中可以分类两个日志: ​ klogd:kernel,记录内核相关的日志 ​ syslogd:service,记录应用程序的日志 rsyslog:是CentOS 6以后的系统使用的日志系统,与之前的syslog日志系统相比,具有以下优点: ​ 支持多线程 ​ 支持TCP、SSL、TLS、RELP等协议 ​ 强大的过滤器,可实现过滤日志信息中的任意部分 ​ 支持自定义输出格式
Linux—图解rsyslog及通过 Loganalyzer实现集中式日志管控
大雄不爱吃肉
08-12 8687
1、安装背景:  在系统管理过程中,所有的系统信息都保存在日志文件中,快速的查找日志并找到问题所在以便解决问题是每个运维人员的必备技能,虽然rsyslog+mysql的机制已经可以实现查看日志的功能,但是不够方便也不直观,配合Loganalyzer就可以方便的通过web界面掌握系统的运行日志信息,当系统出现问题时,可以通过Loganalyzer提供的web界面快速而直观的从日志数据中查找到
Linux日志服务rsyslog深度解析(上)
博客虽小,世界尽在其中
06-07 2985
本文深入探讨了Linux系统中日志服务rsyslog的核心功能、配置方法以及在实际应用中的最佳实践。rsyslog作为Linux系统日志管理的关键组件,不仅负责收集、处理和转发系统日志,还能为系统管理员提供强大的日志分析工具,帮助快速定位和解决系统问题。 首先,文章介绍了rsyslog的基本概念和工作原理,包括其作为系统日志守护进程的角色,以及如何通过配置文件实现日志的收集、过滤和存储。接着,文章详细解析了rsyslog的配置文件,包括全局配置、模板定义、过滤规则等关键部分,并提供了实用的配置示例。 在深入
rsyslog
十五十六
08-29 2754
简介 Rsyslog是一个开源软件实用程序,用于UNIX和类Unix计算机系统,用于在IP 网络中转发日志消息,收集日志。它实现了基本的syslog协议,通过基于内容的过滤,丰富的过滤功能,灵活的配置选项扩展了它,并添加了诸如使用TCP进行传输等功能。 特性 多线程; 可以通过许多协议进行传输UDP,TCP,SSL,TLS,RELP; 存储日志信息于MySQL、PGSQL、Oracle...
Rsyslog】V 8.2008支持的模块
星辰大海
01-22 436
--enable-regexp Enable regular expressions support [default=yes] --enable-fmhash Enable fmhash support [default=yes] --enable-fmhash-xxhash Enable xxhash in fmhash support [default=no] --enable-gssapi-krb5 Enable GSSAPI Kerberos 5 suppo
Rsyslog比较详细的
weixin_30616969的博客
07-12 146
http://blog.csdn.net/fishmai/article/details/51842340 转载于:https://www.cnblogs.com/diyunpeng/p/7155473.html
Linux日志服务rsyslog深度解析(下)
博客虽小,世界尽在其中
06-08 2700
本文深入探讨了Linux系统中重要的日志服务工具rsyslog的应用与配置。首先,我们简要介绍了rsyslog在Linux日志管理中的重要地位,以及它如何帮助系统管理员有效地收集、过滤和存储日志信息。接着,文章详细阐述了rsyslog的基本配置方法,包括如何设置日志消息的接收、过滤和转发规则,以满足不同应用场景的需求。 随后,我们深入讲解了rsyslog的远程存储功能,包括如何将日志消息存储到数据(如MySQL)和消息队列(如Kafka)等远程服务中。在这部分,我们介绍了如何安装必要的驱动模块、配置rsy
rsyslog的配置
fengzhw的专栏
06-21 467
rsyslog的rainerscript配置实例
arcgis license server无法启动远程协助‘’
最新发布
03-18
### 关于ArcGIS License Server无法启动的解决方案 当遇到ArcGIS License Server无法启动的情况时,可以从以下几个方面排查并解决问题: #### 1. **检查网络配置** 确保License Server所在的计算机能够被其他客户端正常访问。如果是在局域网环境中部署了ArcGIS Server Local,则需要确认该环境下的网络设置是否允许远程连接AO组件[^1]。 #### 2. **验证服务状态** 检查ArcGIS Server Object Manager (SOM) 的运行情况。通常情况下,在Host SOM机器上需将此服务更改为由本地系统账户登录,并重启相关服务来恢复其正常工作流程[^2]。 #### 3. **审查日志文件** 查看ArcGIS License Manager的日志记录,寻找任何可能指示错误原因的信息。这些日志可以帮助识别具体是什么阻止了许可证服务器的成功初始化。 #### 4. **权限问题** 确认用于启动ArcGIS License Server的服务账号具有足够的权限执行所需操作。这包括但不限于读取/写入特定目录的权利以及与其他必要进程通信的能力。 #### 5. **软件版本兼容性** 保证所使用的ArcGIS产品及其依赖项之间存在良好的版本匹配度。不一致可能会导致意外行为或完全失败激活license server的功能。 #### 示例代码片段:修改服务登录身份 以下是更改Windows服务登录凭据的一个简单PowerShell脚本例子: ```powershell $serviceName = "ArcGISServerObjectManager" $newUsername = ".\LocalSystemUser" # 替换为实际用户名 $newPassword = ConvertTo-SecureString "" -AsPlainText -Force Set-Service -Name $serviceName -StartupType Automatic New-ServiceCredential -ServiceName $serviceName -Account $newUsername -Password $newPassword Restart-Service -Name $serviceName ``` 上述脚本仅作为示范用途,请依据实际情况调整参数值后再实施。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值