Linux日志服务rsyslog深度解析（下）

🐇明明跟你说过：个人主页

🏅个人专栏：《Linux ：从菜鸟到飞鸟的逆袭》🏅

🔖行路有良友，便是天堂🔖

一、rsyslog的核心功能

1、日志消息的收集

2、日志消息的传输

2.1、TCP与UDP传输

2.2、加密与安全性

3、日志消息的存储

3.1、本地文件存储

3.2、远程存储（如数据库、消息队列）

4、rsyslog配置文件详解

二、rsyslog的配置实践

1、配置文件编辑技巧

2、与其他日志服务（如ELK Stack）的集成

一、rsyslog的核心功能

1、日志消息的收集

rsyslog 的核心功能之一是日志消息的收集。它通过多个模块和灵活的配置来实现这一功能，确保系统能够有效地捕获和处理各种来源的日志数据。

1. 日志消息收集的基本概念

rsyslog 能够从不同来源（本地和远程）收集日志消息。其强大的模块化设计允许用户根据需要加载特定的输入模块，以捕获不同类型的日志数据。

2. 常见的输入模块

2.1 imuxsock

描述：从 Unix 域套接字接收本地日志消息，这是默认的本地日志收集机制。
典型用途：收集由 syslog 函数调用生成的日志消息，通常用于本地系统日志收集。

2.2 imklog

描述：从内核日志缓冲区接收内核日志消息。
典型用途：收集内核生成的日志消息，例如启动日志、内核错误和警告。

2.3 imudp

描述：通过 UDP 协议接收日志消息。
典型用途：收集远程系统发送的 UDP 协议日志消息，通常用于分布式系统中的日志收集。

2.4 imtcp

描述：通过 TCP 协议接收日志消息。
典型用途：收集远程系统发送的 TCP 协议日志消息，提供比 UDP 更可靠的日志传输。

2.5 imfile

描述：从文件中读取日志消息。
典型用途：监控和收集应用程序生成的日志文件，特别适用于没有通过标准 syslog 接口发送日志的应用程序。

2、日志消息的传输

2.1、TCP与UDP传输

在 rsyslog 中，日志消息的传输可以通过多种协议进行，其中最常用的是 TCP 和 UDP。每种传输协议都有其特点和适用场景。

1. UDP传输

特点

无连接：UDP 是一种无连接协议，发送方和接收方之间不建立连接。
轻量级：UDP 传输的数据报文不需要建立和维护连接状态，开销较小。
不可靠：UDP 不保证消息的到达顺序，也不保证消息会被送达。这意味着可能会有丢包或乱序的情况。
快速：由于没有连接建立和确认机制，UDP 的传输速度相对较快。

适用场景

低延迟需求：适用于对延迟敏感的应用场景，例如实时音视频传输。
容忍丢包：适用于丢失少量数据不会造成严重影响的场景，例如网络监控和统计数据传输。
简单配置：适用于对配置要求较低的场景。

2. TCP传输

特点

有连接：TCP 是一种面向连接的协议，在传输数据前需要建立连接。
可靠传输：TCP 提供可靠的数据传输，保证数据的完整性和顺序到达，具备重传机制。
流控制和拥塞控制：TCP 使用流控制和拥塞控制机制，能够在网络拥塞时调整传输速度，避免网络过载。
较高开销：由于需要建立和维护连接状态，TCP 的开销相对较高。

适用场景

高可靠性需求：适用于要求数据可靠传输的场景，例如系统日志、事务性数据传输。
顺序一致性：适用于数据到达顺序非常重要的场景。
网络稳定：适用于网络环境相对稳定且能够容忍较高开销的场景。

2.2、加密与安全性

在日志消息传输中，加密与安全性是至关重要的，尤其在现代企业环境中，日志数据往往包含敏感信息。确保日志数据在传输和存储过程中的机密性和完整性，可以有效防止信息泄露和篡改。rsyslog 提供了多种加密和安全性功能，以满足不同的安全需求。

1. 基于 TLS 的加密传输

rsyslog 支持通过 TLS（Transport Layer Security）协议对日志数据进行加密传输。TLS 是一种广泛使用的加密协议，能够提供数据的机密性、完整性和身份验证。使用 TLS 加密传输可以防止日志数据在网络中被窃听或篡改。

2.基于 TLS 的身份验证

在 TLS 传输中，除了加密数据，TLS 还提供身份验证功能。通过使用证书，可以验证通信双方的身份，确保只有授权的客户端和服务器可以建立连接。

3、日志消息的存储

3.1、本地文件存储

1. 默认存储位置：

日志消息默认存储在/var/log目录下。这是Linux系统中常见的系统日志存储位置。

2. 日志文件配置格式：

日志文件的配置格式通常遵循AAAA.BBBB CCCC的模式。
- AAAA：表示产生日志的设备，如authpriv、mail、cron、uucp、news以及local0-7（用户自定义）。
- BBBB：表示日志的级别，如debug（调试）、info（正常）、notice（稍微注意）、warning（警告）、error（错误信息）、crit（危机信息）、alert（必须注意）和emerg（紧急信息）。
- CCCC：表示保存日志的位置，即具体的日志文件路径。

3. 日志文件示例：

/var/log/messages：这是系统日志的一个常见文件，记录系统启动过程所产生的信息。

4. 配置与测试：

配置文件位于/etc/rsyslog.conf以及/etc/rsyslog.d目录下以.conf为扩展名的文件。
配置规则中，每行左侧表示与规则匹配的syslog消息的设备和严重性，右侧表示要将日志消息保存到的文件。
可以通过修改配置文件来改变日志消息的存储方式和位置。
测试日志是否成功写入可以通过tail -f /var/log/messages等命令实时查看日志文件的内容。

3.2、远程存储（如数据库、消息队列）

1. 存储到数据库

1.1 安装必要的驱动模块

安装rsyslog连接至MySQL server的驱动模块。对于CentOS系统，可以使用命令yum install -y rsyslog-mysql。
该驱动模块会提供/lib64/rsyslog/ommysql.so这样的文件，它是实际与MySQL交互的模块。

1.2 准备数据库和用户

在MySQL服务器上创建一个名为Syslog的数据库（或其他名称）。
创建一个rsyslog专用的用户账号，如CREATE USER 'rsyslog'@'localhost' IDENTIFIED BY 'password';。
授权该用户账号对Syslog数据库的所有权限，如GRANT ALL PRIVILEGES ON Syslog.* TO 'rsyslog'@'localhost';。

1.3 配置rsyslog

修改rsyslog的配置文件/etc/rsyslog.conf，添加将日志消息写入MySQL的配置。

1.4 重启rsyslog服务

重启rsyslog服务，使配置生效。

2. 存储到消息队列（如Kafka）

2.1 安装rsyslog的Kafka模块

由于rsyslog默认不包含Kafka模块，因此需要安装。可以通过添加rsyslog的repo源并使用yum安装rsyslog 8.x版本，然后将Kafka模块文件（如omkafka.so和librdkafka.so.1）复制到系统的lib路径下。

2.2 配置rsyslog

修改rsyslog的配置文件/etc/rsyslog.conf，添加将日志消息写入Kafka的配置。

2.3 启动Kafka和rsyslog

确保Kafka服务已经启动并运行。
重启rsyslog服务，使配置生效。

4、rsyslog配置文件详解

rsyslog 的配置文件主要包括全局选项、模块加载、规则设置和模板定义等部分。

1. 全局选项
全局选项用于定义 rsyslog 的行为、工作目录、权限等全局设置。

# 指定工作目录
$WorkDirectory /var/spool/rsyslog

# 定义默认的日志模板
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# 设置日志文件的权限
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

2. 模块加载
rsyslog 是模块化的，可以通过加载不同的模块来扩展功能。常用的模块包括输入、输出、过滤和解析模块。

# 加载基础模块
module(load="imuxsock") # 本地 Unix 套接字支持
module(load="imklog")   # 内核日志支持
module(load="imfile")   # 文件输入支持

# 加载 TCP 和 UDP 网络模块
module(load="imtcp")
module(load="imudp")

3. 输入配置
输入配置用于定义日志消息的来源。例如，可以从本地文件、Unix 套接字、TCP/UDP 端口等读取日志消息。

# 监听 UDP 514 端口
input(type="imudp" port="514")

# 监听 TCP 514 端口
input(type="imtcp" port="514")

4. 过滤与路由
过滤与路由规则用于定义日志消息的处理和转发方式。可以根据日志消息的属性（如设施、优先级、程序名称等）进行过滤和分类。

# 定义日志文件的存储路径
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log

# 记录所有消息，级别为警告或更高
*.warn                          -/var/log/warn.log

# 定义特定程序的日志路径
if $programname == 'myapp' then /var/log/myapp.log

5. 输出配置
输出配置用于定义日志消息的目标位置，例如本地文件、远程服务器、数据库等。

# 输出到本地文件
*.* /var/log/messages

# 转发到远程服务器
*.* @@remote-server:514

6. 模板定义
模板用于自定义日志消息的格式。在 rsyslog 中，可以使用模板定义日志消息的输出格式。

template(name="MyFormat" type="string" string="%timestamp:::date-rfc3339% %hostname% %syslogtag%%msg%\n")

# 使用自定义模板输出到本地文件
*.* /var/log/custom.log;MyFormat

7. 配置示例
以下是一个综合示例，展示如何配置 rsyslog 从不同来源收集日志消息，并将它们存储到本地文件或转发到远程服务器。

# 全局选项
$WorkDirectory /var/spool/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

# 加载模块
module(load="imuxsock")
module(load="imklog")
module(load="imfile")
module(load="imtcp")
module(load="imudp")

# 输入配置
input(type="imudp" port="514")
input(type="imtcp" port="514")

# 过滤与路由
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log
*.warn                          -/var/log/warn.log

# 输出配置
*.* /var/log/messages
*.* @@remote-server:514

# 自定义模板
template(name="MyFormat" type="string" string="%timestamp:::date-rfc3339% %hostname% %syslogtag%%msg%\n")
*.* /var/log/custom.log;MyFormat

二、rsyslog的配置实践

1、配置文件编辑技巧

1. 模块化配置
将配置文件拆分成多个模块化文件，可以提高配置的可读性和可维护性。例如，可以将不同来源的日志配置放在单独的文件中。

# 主配置文件
include(file="/etc/rsyslog.d/*.conf")

然后在 /etc/rsyslog.d/ 目录中创建单独的配置文件，例如 local.conf、remote.conf 等。

2. 使用模板
定义和使用模板可以统一日志消息的格式，简化配置。例如：

# 定义模板
template(name="MyFormat" type="string" string="%timestamp:::date-rfc3339% %hostname% %syslogtag%%msg%\n")

# 使用模板
*.* /var/log/custom.log;MyFormat

3. 动态配置
利用变量和条件配置，可以动态调整 rsyslog 的行为。例如，根据主机名或程序名来决定日志的存储路径。

# 动态变量
$template DynamicFile,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"

# 使用动态变量
*.* ?DynamicFile

2、与其他日志服务（如ELK Stack）的集成

将 rsyslog 与其他日志服务（如 ELK Stack）集成可以增强日志收集、分析和可视化能力。ELK Stack 包括 Elasticsearch、Logstash 和 Kibana，这些工具可以协同工作，提供强大的日志管理解决方案。

1. rsyslog 与 Logstash 集成
将 rsyslog 日志转发到 Logstash 进行进一步处理和分析。

配置 rsyslog

在 rsyslog 配置文件中添加输出到 Logstash 的配置。可以通过 TCP 或 UDP 协议将日志转发到 Logstash。
编辑 /etc/rsyslog.conf 或 /etc/rsyslog.d/your_config.conf 文件，添加以下配置：

# 加载 omrelp 模块
module(load="omrelp")

# 转发所有日志到 Logstash
*.* action(type="omrelp" target="logstash.example.com" port="10514")

配置 Logstash

配置 Logstash 输入插件以接收来自 rsyslog 的日志。编辑 Logstash 配置文件（例如 logstash.conf），添加以下配置：

input {
  relp {
    port => 10514
  }
}

filter {
  # 这里可以添加你需要的过滤器
}

output {
  elasticsearch {
    hosts => ["http://elasticsearch.example.com:9200"]
    index => "syslog-%{+YYYY.MM.dd}"
  }

  stdout {
    codec => rubydebug
  }
}

2. rsyslog 与 Elasticsearch 集成
直接将 rsyslog 日志发送到 Elasticsearch。

配置 rsyslog
使用 omelasticsearch 模块将日志发送到 Elasticsearch。
编辑 /etc/rsyslog.conf 或 /etc/rsyslog.d/your_config.conf 文件，添加以下配置：

# 加载 omelasticsearch 模块
module(load="omelasticsearch")

# 配置 Elasticsearch 输出
action(
  type="omelasticsearch"
  server="http://elasticsearch.example.com:9200"
  serverport="9200"
  template="RSYSLOG_TraditionalFileFormat"
  searchIndex="syslog"
  dynSearchIndex="on"
  searchType="doc"
  bulkmode="on"
  queue.workerthreads="2"
  queue.size="10000"
  queue.dequeuebatchsize="500"
  action.resumeretrycount="10"
)