ELK stack实战之结合rsyslog分析系统日志(auth.log)

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.

这里写图片描述
打开微信扫一扫,关注微信公众号【数据与算法联盟】

转载请注明出处: http://blog.csdn.net/gamer_gyt
博主微博: http://weibo.com/234654758
Github: https://github.com/thinkgamer


写在前边的话


在之前的文章中我么谈到了ELK stack的部署和简单的小demo,然后我们又看了elk stack结合filebeat做了一个分析,具体可参考下面的链接:
linux 部署ELK 日志分析系统与简单测试
ELK stack实战之Filebeat的架构分析、配置解释与示例

本篇文章我们主要谈一下linux操作系统的rsyslog(syslog),然后结合elk stack做一个分析autho.log(linux自己生成的日志)的demo

syslog与rsyslog


syslog

    首先需要说明的是syslog是一种协议,广泛用于系统日志,syslog系统日志消息可以记录在本地,也可以发送到接受syslog日志的服务器统一进行存储和处理,也可以解析其中的内容做相应的处理。

    常见的应用场景是网络管理工具、安全管理系统、日志审计系统。
    对于老版本的unix操作系统,默认使用syslog,但是在新版本都已经被rsyslog所替代
    老版本的Linux缺省使用Syslog,其配置大致如下所示:

shell> cat /etc/syslog.conf

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
# kern.* /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.
authpriv.* /var/log/secure

# Log all the mail messages in one place.
mail.* -/var/log/maillog

# Log cron stuff
cron.* /var/log/cron

# Everybody gets emergency messages
*.emerg *

# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log
local7.* /var/log/boot.log

    完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或 Level)、时间、主机名或IP、进程名、进程ID和正文。在Unix类操作系统上,能够按Facility和Severity的组合来决定什么样的日志消息是否需要记录,记录到什么地方,是否需要发送到一个接收syslog的服务器等。由于syslog简单而灵活的特性,syslog不再仅限于 Unix类主机的日志记录,任何需要记录和发送日志的场景,都可能会使用syslog。

    这里涉及两个概念:Facility和Severity,中文的意思大致是类型和级别。重点说明两条配置的含义:首先,所有Severity大于等于info的信息都会被保存到「/var/log/messages」中,但是Facility为mail、authpriv、cron的消息例外;其次,所有Facility为mail的消息都会保存到「/var/log/maillog」中,日志文件前面的减号表示的意思是异步写文件。

rsyslog

上边也说了,对于现在的很多发行版都默认采用了rsyslog,rsyslog是syslog的升级版,这里我们看些Facility和Serverity
rsyslog通过Facility概念来定义日志消息的来源,以方便对日志进行分类 ,facility有以下几种

        kern                     内核消息
        user                     用户级消息
        mail                     邮件系统消息
        datemon                  系统服务消息
        auth                     认证系统消息
        syslog                   日志系统本身消息
        lpr                      打印系统消息
        authpriv                 权限系统消息
        corn                     定时任务消息
        news                     新闻系统消息
        uucp                     uucp系统消息
        ftp                      ftp系统消息

除了日志来源以外,对于同一来源产生的日志消息,还进行了优先级的划分,优先级分为以下几种

        Emergency                系统已经不能使用
        Alert                    必须立即进行处理
        Critical                 严重错误
        Error                    错误
        Warning                  警告
        Notice                   正常信息,但是较为重要
        Informational            正常信息
        Debug                    debug信息

案例:rsyslog+ELK分析auth.log


启动/停止/查看rsyslog的状态

在配置rsyslog的机器上执行即可

sudo service rsyslog start
sudo service rsyslog stop
Sudo service rsyslog status

使用系统的logger命令测试rsyslog是否工作

在配置rsyslog的机器上执行即可

Logger hello world

查看/var/log/message

[master@localhost log]$ sudo tail -n 1 messages
Sep 29 23:37:00 localhost master: hello word

测试rsyslog的性能

使用官方提供的 tcpflood
https://github.com/rsyslog/rsyslog/blob/master/tests/tcpflood.c

rsyslog+elk做日志收集

1、服务器两台

192.168.197.129    配置elk            OS:redhat
192.168.197.131    rsyslog客户端  OS:Centos7

2、ELK客户端配置
即129这个服务器
rsyslog.conf

input {
  tcp{
    port => 5514
    type => syslog
  }
  udp{
    port => 5514
    type => syslog
  }
}
output {
  stdout {
    codec=> rubydebug
  }
  elasticsearch {
    hosts => ["192.168.197.129:9200"]
  }
}

启动ELK服务

rsyslog客户端配置

即131这个服务器

sudo vim /etc/rsyslog.conf

找到下边的一段,去掉注释:

# provides UDP syslog reception
# module(load="imudp")
# input(type="imudp" port="5514")

# provides TCP syslog reception
# module(load="imtcp")
# input(type="imtcp" port="5514")

如下:

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="5514")

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="5514")

最后添加一行(elk所在机器的ip和监听的端口)

*.*  @192.168.197.129:5514

重启rsyslog服务

sudo service rsyslog restart

测试

在rsyslog所在客户端执行

logger -p info “hello, remote rsyslog”

部署ELK的服务器终端查看Elasticsearch的输出

这里写图片描述

kibana的web展示界面可以看到

这里写图片描述

当然我们也可以执行一些其他的命令

ssh localhost

输入正确的密码,在终端可以监测到:

这里写图片描述

ssh localhost 输入错误的密码:

这里写图片描述

根据这种情况我们就可以针对登录日志做出相应的分析

这里的logstash中的rsyslog.conf文件也可以这样写

input {
   syslog{
    port => 5514
    type => syslog
  }
}
output {
  stdout {
    codec=> rubydebug
  }
  elasticsearch {
    hosts => ["192.168.197.129:9200"]
  }
}

这个时候在rsyslog的服务器中执行

logger -p info “hello, remote rsyslog”

这里写图片描述


END

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
3天前
|
Java Maven Spring
超实用的SpringAOP实战之日志记录
【11月更文挑战第11天】本文介绍了如何使用 Spring AOP 实现日志记录功能。首先概述了日志记录的重要性及 Spring AOP 的优势,然后详细讲解了搭建 Spring AOP 环境、定义日志切面、优化日志内容和格式的方法,最后通过测试验证日志记录功能的准确性和完整性。通过这些步骤,可以有效提升系统的可维护性和可追踪性。
|
10天前
|
存储 SQL 监控
|
10天前
|
运维 监控 安全
|
14天前
|
存储 监控 安全
|
13天前
|
监控 关系型数据库 MySQL
分析慢查询日志
【10月更文挑战第29天】分析慢查询日志
34 3
|
13天前
|
监控 关系型数据库 数据库
怎样分析慢查询日志?
【10月更文挑战第29天】怎样分析慢查询日志?
32 2
|
1月前
|
Java 程序员 应用服务中间件
「测试线排查的一些经验-中篇」&& 调试日志实战
「测试线排查的一些经验-中篇」&& 调试日志实战
22 1
「测试线排查的一些经验-中篇」&& 调试日志实战
|
1月前
|
存储 缓存 关系型数据库
MySQL事务日志-Redo Log工作原理分析
事务的隔离性和原子性分别通过锁和事务日志实现,而持久性则依赖于事务日志中的`Redo Log`。在MySQL中,`Redo Log`确保已提交事务的数据能持久保存,即使系统崩溃也能通过重做日志恢复数据。其工作原理是记录数据在内存中的更改,待事务提交时写入磁盘。此外,`Redo Log`采用简单的物理日志格式和高效的顺序IO,确保快速提交。通过不同的落盘策略,可在性能和安全性之间做出权衡。
1625 14
|
1月前
|
存储 消息中间件 大数据
大数据-69 Kafka 高级特性 物理存储 实机查看分析 日志存储一篇详解
大数据-69 Kafka 高级特性 物理存储 实机查看分析 日志存储一篇详解
35 4
|
1月前
|
SQL 分布式计算 Hadoop
Hadoop-19 Flume Agent批量采集数据到HDFS集群 监听Hive的日志 操作则把记录写入到HDFS 方便后续分析
Hadoop-19 Flume Agent批量采集数据到HDFS集群 监听Hive的日志 操作则把记录写入到HDFS 方便后续分析
43 2