rsyslog

#修改主机名 hostnamectl set-hostname xxxx.xxxx #修改主机列表 cat <<EOF >> /etc/hosts 192.168.2.xxx xxxx.xxxx 192.168.2.xxx xxxx.xxxx EOF #修改IP地址 cat <<EOF > /etc/sysconfig/network-scripts/ifcfg-ens33 DEVICE=ens33 BOOTPROTO=static IPADDR=192.168.x.x GATEWAY=192.168.x.x NETMASK=255.255.255.0 DNS1=192.168.x.x ONBOOT=yes EOF systemctl restart network.service #修改提示符颜色 echo "PS1='\[\e[1;32m\][\u@\h \w]\$ \[\e[0m\]'" >> ~/.bashrc && . ~/.bashrc #关闭防火墙 systemctl stop firewalld.service && systemctl disable firewalld.service #临时关闭SELinux setenforce 0 && sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc

linux系统中日志分析 是很重要的一部分，下面介绍一下简单的日志自定义配置和日志收集 1 日志配置 配置文件在/etc/rsyslog.conf中 日志分为日志类型，日志级别。 日志类型： mail 邮件类型 cron 定时任务类型 user 用户类型 authpriv 审计类型 news 新闻类型 kern 内核数据类型 daemon 守护类型 日志级别（告警级别） 0 debug 调试级别 1 info 消息级别 2 notice 注意级别 3 warning 告警级别 4 err 错误级别 5 crit 级别 6 aler 级别 7 emerg 急救级别 可以根据自己的定义A.B 其中A是日志类型B是日志级别，配置好日志输出在那些文件中 # test mail.err /var/log/myMailErr.log 配置完rsyslog.conf之后重启rsyslog： service rsyslog restart 重启完之后 /var/log/myMailErr.log 就自动生成 日志文件配置好，日志文件生成之后，可以测试一下， logger -p mail.err 'hello you mail have some error' 检查myMailErr.log 文件 2 日志收集 管理多台服务器的时候管理人员不可能登陆每一台服务器（下面就叫客户机）去查看日志

(1).发送日志的服务器（被收集） 1 2 3 4 5 [root@xuexi ~]# vim /etc/rsyslog.conf //在#*.* @@remote-host:514行下添加一行 *.* @@192.168.1.222:514　　 //@@表示使用TCP协议，@表示使用UDP协议 [root@xuexi ~]# systemctl restart rsyslog.service (2).接收日志的服务器（收集端） 1 2 3 4 5 6 7 8 9 10 11 [root@xuexi ~]$ vim /etc/rsyslog.conf //将以下两行的注释符去除 #$ModLoad imtcp #$InputTCPServerRun 514 [root@xuexi ~]# setenforce 0　　 //临时关闭SELinux [root@xuexi ~]# systemctl stop firewalld.service　　 //临时关闭防火墙 [root@xuexi ~]# systemctl restart rsyslog.service　　 //重启服务 [root@xuexi ~]# netstat -anlpt | grep 514　　 //查看是否开启 tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 9708

在CentOS7中，系统的日志消息由两个服务负责处理：system-journald和rsyslog。 (1).常见的日志及作用 　　/var/log目录里存放了一些特定于系统和服务的日志文件，由rsyslog维护。下面介绍一些改目录下的常用日志文件及其总用 日志文件 作用 /var/log/message 大多数系统日志消息记录都在此处。但不包括与身份验证，电子邮件处理相关的定期作业任务等 /var/log/secure 安全和身份验证相关的信息以及登录失败的日志文件。主要ssh远程连接产生的日志。 /var/log/maillog 与邮件相关的信息日志文件 /var/log/cron 与定期执行任务相关的日志文件 /var/log/boot.log 与系统启动相关的信息记录 /var/log/dmesg 与系统启动相关的信息记录 /var/log/wtmp 是一个二进制文件，记录每个用户的登录次数和持续时间等信息，可以用last命令查看其中内容 /var/log/btmp 与/var/log/wtmp类似，但记录的是错误登录系统的日志，使用lastb命令查看其中内容。如果此文件大于1M，就需要注意是否有人在暴力破解 1）实例1：查看哪个IP地址经常暴力破解系统用户密码 　　首先，我们先用远程连接软件SCRT连接并输错密码，再使用ssh命令尝试连接并输错三次密码，模拟暴力破解。

初学Linux rsyslog记录 rsyslog服务提供对分布式日志的集中化管理，将各分布主机上的日志收集到集中式日志服务器上。 一、首先需要在日志服务器Server端开启远程服务。修改配置文件：/var/log/rsyslog.conf 以下为开启UDP连接： # provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 以下为开启TCP连接： # provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514 修改完成后需要重启rsyslog服务。执行命令 # restart rsyslog 二、然后在存放日志的Local主机建立到Server的连接。同样，修改配置文件：/var/log/rsyslog.conf $ModLoad imfile#use "imfile" module to monitor files # monitor file1 $InputFileName /home/yurunsheng/file1.log $InputFileTag file1_tag: $InputFileFacility local1 $InputFileStateFile file1_state $InputRunFileMonitor #

项目需要将日志收集起来做存储分析，数据的流向为rsyslog（收集） -> kafka（消息队列） -> logstash(清理) -> es、hdfs； 今天我们先将如何利用rsyslog进行日志收集到kafka。 一、环境准备 通过对 rsyslog官方文档 查看,得知 rsyslog对 kafka的支持是 v8.7.0版本后才提供的支持.通过 ChangeLog 也可以看出 V8.X的版本变化. 最新V8稳定版已经提供RPM包的Rsyslog-kafka插件了,直接yum安装即可,添加yum源： [rsyslog_v8] name=Adiscon CentOS-$releasever - local packages for $basearch baseurl=http://rpms.adiscon.com/v8-stable/epel-$releasever/$basearch enabled=1 gpgcheck=0 gpgkey=http://rpms.adiscon.com/RPM-GPG-KEY-Adiscon protect=1 添加后 yum install rsyslog rsyslog-kafka.x86_64 即可完成安装。 二、配置 1. 处理原则 input submit received messages to rulesets, zero or

log日志都是一个系统不可缺少的一个重要组成部分，出现问题通过日志解决是非常有效的方法，如果能将日志收集在一个指定的服务器，对生产环境来说是很重要的。本文主要是日志的远程收集。 准备实验环境（关闭selinux和防火墙） —————————————————————————————————— 客户端： [root@luc ~]# hostname -I 192.168.88.150 环境： [root@luc ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) —————————————————————————————————— Log服务器： [root@logserver ~]# hostname -I 192.168.88.148 环境： [root@logserver ~]# cat /etc/redhat-release CentOS release 6.9 (Final) —————————————————————————————————— 日志服务：rsyslog 默认安装软件，可以用yum –y install rsyslog 端口：514 udp/tcp 配置文件： /etc/rsyslog.conf 和 /etc/rsyslog.d/*.conf 日志位置： /var/log =====