日志配置

日志配置

    程序包：rsyslog
        rpm -ql rsyslog
            centos6
                /etc/logrotate.d/syslog
                /etc/pki/rsyslog
                /etc/rc.d/init.d/rsyslog
                /etc/rsyslog.conf
                /etc/rsyslog.d
                /etc/sysconfig/rsyslog
                /lib64/rsyslog
                /sbin/rsyslogd/
                /usr/share/doc/rsyslog-5.8.10
                /usr/share/man/man5/rsyslog.conf.5.gz
                /usr/share/man/man8/rsyslogd.8.gz
                /var/lib/rsyslog
            centos7
                /etc/logrotate.d/syslog
                /etc/pki/rsyslog
                /etc/rsyslog.conf
                /etc/rsyslog.d
                /etc/sysconfig/rsyslog
                /usr/bin/rsyslog-recover-qi.pl
                /usr/lib/systemd/system/rsyslog.service
                /usr/lib64/rsyslog/
                /usr/sbin/rsyslogd
                /usr/share/doc/rsyslog-7.4.7
                /usr/share/man/man5/rsyslog.conf.5.gz
                /usr/share/man/man8/rsyslogd.8.gz
                /var/lib/rsyslog
    主程序：
        rsyslogd

    配置文件：
        /etc/rsyslog.conf 
        /etc/rsyslog.d/*.conf

    库文件： 
        /lib64/rsyslog/*.so

    配置文件的格式：
        1》由三部分组成
            MODULES：    相关模块配置
            GLOBAL DIRECTIVES：  全局配置
            RULES：  日志记录相关的规则配置
        2》规则rules的配置格式：
            facility.priority；facility.priority        target
            设施 . 级别                                  位置
        3》facility:
            *：  所有的facility
            facility1,facility2,.... ：  指定的facility列表
        4》priority：
            *：  所有级别的日志信息
            none：   没有级别，即不记录
            priority_name：  (8中级别之一)指定级别(含)以上的所有级别的日志信息
            =priority_name： (8中级别之一)仅记录指定级别的日志信息
        5》facility和priority中间可以使用一些符号来表示特殊意义：
            .   点号表示比后面还要高的等级（含）都要被记录下来
            .=  表示所有需要的等级就是后面所接的等级，其他的不要
            .!  代表不等于后面多接的等级，即除了这个等级外的都将记录
        6》target：
            日志信息发送的位置。
            1）文件路径：通常在/var/log/ ，文件路径前的 - 表示异步写入。
            2）用户：将日志事件通知给指定的用户，* 表示登录的所有用户。
            3）日志服务器：@server_host ，把日志送往至指定的远程服务器记录。注意，服务器必须要监听tcp或udp的514端口上的服务。其中@host表示使用udp的协议，@@host表示使用tcp的协议。
            4）管道： | COMMAND，转发给其他命令处理。

    配置日志服务器
        1》把本地配置为日志服务器，可以打开配置文件/etc/rsyslog.conf中的指定模块，让其监听在514端口上。
            vim /etc/rsyslog.conf
                    #### MODULES ####
                 12 # Provides UDP syslog reception
                 13 $ModLoad imudp
                 14 $UDPServerRun 514
                 15 
                 16 # Provides TCP syslog reception
                 17 $ModLoad imtcp
                 18 $InputTCPServerRun 514
        2》打开后重启rsyslog服务器生效
            service rsyslog restart
            ss -ntul|grep 514
        3》在应用服务器
            vim /etc/rsyslog.conf
                local2.*                @@192.168.25.107
        
    日志切割存储的功能组件：logrotate
        1》介绍
            logrotate  程序是一个日志文件管理工具，用来把旧的日志文件删除，并创建新的日志文件，称为日志转储或滚动。
            可以根据日志文件的大小，也可以根据其天数来转储。
            logrotate是结合cron定期的对日志文件进行处理，主要是通过/etc/cron.daily/logrotate程序来处理。
        2》logrotate的配置文件：
            /etc/logrotate.conf
            /etc/logrotate.d/
        3》/etc/logrotate.conf配置主要参数说明
            compress    通过gzip 压缩转储以后的日志
            nocompress      不需要压缩时，用这个参数
            copytruncate    用于还在打开中的日志文件，把当前日志备份并截断
            nocopytruncate      备份日志文件但是不截断
            create mode owner group     转储文件，使用指定的文件模式创建新的日志文件
            nocreate    不建立新的日志文件
            delaycompress 和 compress    一起使用时，转储的日志文件到下一次转储时才压缩
            nodelaycompress     覆盖 delaycompress  选项，转储并压缩
            errors address      专储时的错误信息发送到指定的Email 地址
            ifempty     即使是空文件也转储，是缺省选项。
            notifempty      如果是空文件的话，不转储
            mail address    把转储的日志文件发送到指定的E-mail  地址
            nomail      转储时不发送日志文件
            olddir directory    转储后的日志文件放入指定的目录，必须和当前日志文件在同一个文件系统
            noolddir    转储后的日志文件和当前日志文件放在同一个目录下
            prerotate/endscript     在转储以前需要执行的命令可以放入这个对，这两个关键字必须单独成行
            postrotate/endscript    在转储以后需要执行的命令可以放入这个对，这两个关键字必须单独成行
            daily   指定转储周期为每天
            weekly      指定转储周期为每周
            monthly     指定转储周期为每月
            size    指定日志超过多大时，就执行日志转储
            rotate count    指定日志文件删除之前转储的次数，0  指没有备份，5  指保留5  个备份
            Missingok   如果日志不存在，提示错误
            Nomissingok     如果日志不存在，继续下一次日志，不提示错误
            weekly      默认每周对登录文件进行一次切割
            rotate 4    保留多少个登录文件，默认为4个
            create  由于登录文件被更名，因此创建一个新的来继续记录
            dateext 
            #compress   被更动的登录文件是否需要压缩
            include /etc/logrotate.d    将这个目录的所有文件都读取进来
            /var/log/wtmp {  仅针对/var/log/wtmp所配置的参数
                    monthly 每个月移除，取代每周
                    create 0664 root utmp   指定新建文件的权限与所属账号、群组
                    minsize 1M  文件容量超过1M后才进行切割
                    rotate 1    仅保留一个，即仅有wtmp.1保留而已
            }
            
            /var/log/btmp {
                missingok
                monthly
                create 0600 root utmp
                rotate 1
            }
            
    rsyslog将日志记录于mysql中
        1》准备MySQL Server
        2》在mysql server 上授权rsyslog 能连接至当前服务器
            mysql> GRANT ALL ON Syslog.* TO ‘loguser‘@‘%‘ IDENTIFIED BY ‘xm1234‘;
        3》在rsyslog 服务器和mysql server上安装mysql 模块相关的程序包
            yum install rsyslog-mysql
        4》为rsyslog 创建数据库及表；
            mysql -uroot  -pxm1234 < /usr/share/doc/rsyslog-7.4.7/mysql-createDB.sql
        5》配置rsyslog 将日志保存到mysql中
            vim /etc/rsyslog.conf 
                #### MODULES ####
                $ModLoad ommysql
                #### RULES ####
                facility.priority :ommysql:DBHOST,DBNAME,DBUSER, PASSWORD
                示例
                    local2.*        :ommysql:192.168.213.128,Syslog,loguser,xm1234
            systemctl status rsyslog.service
            systemctl restart  rsyslog.service 
        6》测试
            在rsyslog服务器上
                logger -p local2.info "haha"
            在mysql服务器上
                mysql -uroot -pxm1234
                    use Syslog ;
                    show tables;
                    select count(*) from SystemEvents;
                    select * from SystemEvents \G;

    通过loganalyzer 展示数据库中的日志
        1》在rsyslog 服务器上准备lamp 或lnmp 组合
            yum install httpd php php-mysql php-gd
        2》安装LogAnalyzer
            tar xf loganalyzer-4.1.5.tar.gz
            cp -a loganalyzer-4.1.5/src /var/www/html/loganalyzer
            cd /var/www/html/loganalyzer
            touch config.php
            chmod 666 config.php
        3》配置loganalyzer
            systemctl start httpd.service
            http://HOST/loganalyzer
            
        4》安全加强
            cd /var/www/html/loganalyzer
            chmod 644 config.php