最新消息:
    你的位置:IPCPU-网络之路 > Linux > syslog-ng服务器介绍和搭建过程

    syslog-ng服务器介绍和搭建过程

    Linux ipcpu 3232浏览

    syslog-ng服务器介绍和搭建过程.md

    1. 概述

    Syslog常被称为系统日志或系统记录,是一种用来在互联网协定(TCP/IP)的网络中传递记录档讯息的标准。

    Syslog主要记录路由器、交换机和防火墙等网络设备和Linux及unix服务器启动及运行的过程中产生的信息。

    Linux系统都自带syslog服务端,RHEL 5系统上默认自带了syslog,RHEL 6系统升级为rsyslog,但功能都不是很强大,因此就有了syslog-ng。syslog-ng (syslog-Next generation) 是syslog的升级版,syslog-ng有两个版本,作为syslog的下一代。产品,功能是可想而知,肯定比syslog的功能强大的多,如高性能、可靠的传输、支持多平台、高可靠性、强大的日志过滤及排序、事件标签和关联性等等。

    syslog-ng其官方网站是https://syslog-ng.org/

    2. syslog-ng服务搭建

    2.1 syslog-ng服务安装

    在CentOS中我们通过yum可以直接安装

    1. #@install epel first
    2. yum install syslog-ng syslog-ng-libdbi -y

    2.2 syslog-ng服务配置

    syslog-ng的配置文件是/etc/syslog-ng/syslog-ng.conf

    1. @version:3.2
    3. # syslog-ng configuration file.
    5. #global options
    6. options {
    7.     flush_lines (0);
    8.     time_reopen (10);
    9.     log_fifo_size (1000);
    10.     long_hostnames (off);
    11.     use_dns (no);
    12.     use_fqdn (no);
    13.     create_dirs(yes);
    14.     keep_hostname (yes);
    15.     perm (0640);
    16.     dir_perm (0750);
    17.     group (root);
    18.     dir_group (root);
    19. };
    21. #source
    22. source s_localhost {
    23.     file ("/proc/kmsg" program_override("kernel: "));
    24.     unix-stream ("/dev/log");
    25.     internal();
    26. };
    28. source s_network {
    29.     udp(ip(172.1.10.31) port(514));
    30.     tcp(ip(172.1.10.31) port(514) max-connections(333));
    31. };
    33. #filter
    34. filter mail_filter { not facility(mail); };
    36. #destination
    37. destination d_localhost {
    38.                file ("/data/syslog-ng/$YEAR.$MONTH.$DAY/localhost/$FACILITY.log");
    39. };
    41. destination d_network {
    42.               file ("/data/syslog-ng/$YEAR.$MONTH.$DAY/$SOURCEIP/$FACILITY.log");
    43. };
    45. #logging action
    46. log {         source(s_localhost);
    47.           destination(d_localhost);
    48. };
    50. log {          source(s_network);
    51.            filter (mail_filter);
    52.            destination(d_network);
    53. };

    注意TIPS

    $SOURCEIP是源IP,不要使用$HOST,防止客户端主机名重复
    create_dirs(yes)打开,否则不能自动创建目录
    注意关闭rsyslog后在开启syslog-ng
    由于Linux系统的mail日志较大,这里进行了过滤

    3. 客户端配置

    3.1 Linux配置

    Linux只需要在/etc/rsyslog.conf加入以下语句,重启rsyslog服务

    1. *.*    @172.1.10.31

    3.2 网络设备配置

    网络设备指定syslog服务器IP地址即可,以cisco为例

    1. logging trap warnings
    2. !logging facility local7
    3. logging host 172.1.10.31

    4. 服务器端检查

    配置完客户端后,可以在syslog-ng目录中看到自动生成的目录和文件

    1. [root@TV-IT-SYSLOG-01 ~]#tree /data/syslog-ng/2016.07.21/
    2. /data/syslog-ng/2016.07.21/
    3. ├── 172.1.10.22
    4.    ├── authpriv.log
    5.    ├── cron.log
    6.    └── local6.log
    7. ├── 172.16.201.20
    8.    └── local7.log
    9. ├── 172.16.201.21
    10.    └── local7.log
    11. ├── 172.16.201.51
    12.    └── local7.log
    13. └── localhost
    14.     ├── cron.log
    15.     └── syslog.log
    17. 5 directories, 8 files
    18. [root@TV-IT-SYSLOG-01 ~]#

    转载请注明:IPCPU-网络之路 » syslog-ng服务器介绍和搭建过程

    与本文相关的文章