syslog服务器 如何进一步分析数据

syslog服务器可以用作一个网络中的日志监控中心，rsyslog是一个开源工具，进一步分析数据，被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。本文我们来讲讲在 Linux 上配置一个 syslog 服务器，还有CentOS上配置rsyslog客户端用以远程记录日志。
 
rsyslog 作为标准的syslog守护进程，预装在了大多数的Linux发行版中。

在客户端/服务器架构的配置下，rsyslog同时扮演了两种角色：

1作为一个syslog服务器，rsyslog可以收集来自其他设施的日志信息；

2作为一个syslog客户端，rsyslog可以将其内部的日志信息传输到远程的syslog服务器。
在此，我们演示了在linux上如何通过rsyslog来配置一个中心化syslog服务器。 在进入详解之前，先温习一下syslog标准。

rsyslog是一个开源工具，被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。rsyslog守护进程可以被配置成两种环境，一种是配置成日志收集服务器，rsyslog进程可以从网络中收集其它主机上的日志数据，这些主机会将日志配置为发送到另外的远程服务器。

rsyslog的另外一个用法，就是可以配置为客户端，用来过滤和发送内部日志消息到本地文件夹（如/var/log）或一台可以路由到的远程rsyslog服务器上，进一步分析数据。

假定你的网络中已经有一台已经配置好并启动的rsyslog服务器，本指南将为你展示如何来设置CentOS系统将其内部日志消息路由到一台远程rsyslog服务器上进一步分析数据。这将大大改善你的系统磁盘空间的使用，尤其是当你还没有一个用于/var目录的独立的大分区。

syslog服务器的配置文件为/etc/syslogconf，syslog(3)函数把想记录的日志信息都发送给日志服务器，但此日志最终是否记录到文件或发送给远程服务器，则是由此配置文件来决定的，该配置文件就是告诉日志服务器要记录那些类型和级别的日志，如何记录等信息。
配置文件是文本文件，每行配置分两个字段，第一字段是说明要记录哪类日志，第二字段是说明日志存放位置，可以是本地文件，也可以是远程服务器。

Syslog4j本身自带了一个服务端的例子程序：SyslogServerMain。这是一个命令行方式的日志服务器的实现。
命令参数说明如下：
SyslogServer [-h<host>] [-p <port>] [-o <file>] [-a] [-q] <protocol>
-h <host> host or IP to bind
-p<port> port to bind
-t<timeout> socket timeout (in milliseconds)
-o<file> file to write entries(overwrites by default)
-a append to file (instead ofoverwrite)
-q do not write anything to standardout
protocol Syslog4j protocol implementation (tcp,udp, )
命令执行方法如下：
java -cpsyslog4j-0946jar orgproductivityjavasyslog4jserverSyslogServerMain -p5555 udp
代表的含义是使用本机的5555端口，通过UDP协议接收日志。

Syslog是一种工业标准的协议，可用来记录设备的日志。
Ubuntu下安装syslog apt-get install inetutils-syslogd
这里面的三个函数openlog， syslog， closelog是一套系统日志写入接口。另外那个vsyslog和syslog功能一样，只是参数格式不同。
通常，syslog守护进程读取三种格式的记录消息。此守护进程在启动时读一个配置文件。一般来说，其文件名为/etc/syslogconf，该文件决定了不同种类的消息应送向何处。例如，紧急消息可被送向系统管理员（若已登录），并在控制台上显示，而警告消息则可记录到一个文件中。该机制提供了 syslog函数，其调用格式如下
#include <syslogh>
void openlog (charident,int option ,int facility);
void syslog(int priority,charformat,……)
void closelog();
调用openlog是可选择的。如果不调用openlog，则在第一次调用syslog时，自动调用openlog。调用closelog也是可选择的，它只是关闭被用于与syslog守护进程通信的描述符。调用openlog 使我们可以指定一个ident，以后， 此ident 将被加至每则记录消息中。ident 一般是程序的名称（例如 ，cron ，ine 等）
程序的用法示例代码如下：
#include <syslogh>
int main(int argc, char argv)
{
openlog("MyMsgMARK", LOG_CONS | LOG_PID, 0);
syslog(LOG_DEBUG,
"This is a syslog test message generated by program '%s'\n",
argv[0]);
closelog();
return 0;
}
编译生成可执行程序后，运行一次程序将向/var/log /message文件添加一行信息如下：
Feb 12 08:48:38 localhost MyMsgMARK[7085]: This is a syslog test message generated by program '/aout'
syslog函数及参数
syslog函数用于把日志消息发给系统程序syslogd去记录，此函数原型是：
void syslog(int priority, const char format, );
第一个参数是消息的紧急级别，第二个参数是消息的格式，之后是格式对应的参数。就是printf函数一样使用。
如果我们的程序要使用系统日志功能，只需要在程序启动时使用openlog函数来连接 syslogd程序，后面随时用syslog函数写日志就行了。
下面介绍在RedHat和ubuntu中如何配置它：
Ubuntu和红帽常使用它，并且通过文件/etc/rsyslogconf进行管理。文件中包含许多指定的特殊系统日志：有的是控制台方面的，有的是文件方面或其它主机的。
首先，我们需要载入合适的TCP和UDP插件以支持接收系统日志。把下面的代码添加到rsyslogconf的头部：
$modload imtcp
$modload imudp
$InputTCPServerRun 10514
$UDPServerRun 514
载入的这两个模块能支持监听TCP和UDP的端口，并且指定哪个端口来接受事件，在这种情况下，使用TCP的10514端口和UDP的514端口。你需要确认一下本地防火墙(在你的主机和中央系统日志服务器之间的防火墙)
下面我们需要指定一些规则来告诉rSyslog在哪放输入事件。如果你不添加任何规则，输入事件将按照本地的规则进行处理，并且与本地主机的事件交织在一起。我们需要在上面添加节之后和本地处理系统日志之前来正确的指定这个规则，例如：
if $fromhost-ip isequal '19216802' then /var/log/19216802log
& ~
这里我们说的每一个来自于19216802的系统日志都应该保存在/var/log/19216802log文件中。&~这个符号是非常重要的，因为它告诉rSyslog将停止处理消息。如果你把它忘写了，消息将越过下一个规则，并且继续处理。在这一规则中还有其他的变量。例如：
if $fromhost-ip startswith '192168' then /var/log/192168log
& ~
这里我们用192168替代了以这个为开始的所有IP地址，写入到/var/log/192168log文件中。你还可以看到一些其它的过滤。
你将需要重启这个rsyslog服务来激活我们所做的新的配置：
$ sudo service rsyslog restart
现在，对于发送方的主机，我们还需要对文件rsyslogconf进行一些更改，在文件的头部，添加下面这行：
@@19216801:10514
这是发送的所有事件，来自于所有源代码和所有重要级别(用)，通过TCP协议传给IP地址为19216801的10514端口。你可是用你所在环境的地址来替换这个IP地址。要启用此配置，你将需要重启主机上的rSyslog。
你可以通过SSL/TLS更进一步地发送你的系统日志。如果你在互联网上或其它网络间传输系统日志，这也没什么坏处，你可能会发现这个的简单说明。
现在，如果给你的配置管理系统(如果不使用这个，你可以试一试Puppet或Cfengine工具)添加这个配置，然后，您可以用适当的系统日志来有效地配置每台主机，以确保你的日志将被发送到中央系统日志服务器。

设置配置文件 /etc/syslogconf，指向服务器的地址或域名；
远程服务器：格式是“@address”，“@”表示进行远程记录，将日志发送到远程的日志服务器，日志服务器的端口是UDP514，address可以是IP地址，也可以是域名

---