Syslog-ng+Rsyslog收集日志:收集SSH用户命令(四)

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:

有些时候需要用到堡垒机,但要知道用户都用那些命令操作过。

rsyslog属性的名称中以$开头的是从本地系统获得的变量、不带$是从消息中获得变量


一、先配置系统变量记录SSH命令,并生成文件,位置/var/log/ssh.log。

1
#vi /etc/profile.d/ssh.sh  //创建一个文件ssh.sh脚本去存放变量
1
2
export  HISTORY_FILE= /var/log/ssh .log
export  PROMPT_COMMAND= '{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >> $HISTORY_FILE' ####

创建完文件要生效一下。

1
#source /etc/profile.d/ssh.sh

以上配置成功后可以查看/var/log/ssh.log文件来显示。

1
#tail -f /var/log/ssh.log#####

wKiom1cV7wzSVJEdAAA6g2pKYTY555.jpg


注意:如果希望按时间去生成文件可以修改ssh.sh里的ssh.log改成`date '+%F'`.log这样就会按天来保存了,如果需要时间请去查看LINUX短格式修改

1
export  HISTORY_FILE= /var/log/ssh- ` date  '+%F' `.log   // 注意 date 也被单引号包括起来了

wKiom1cV8_2hoLeRAAAhprnMMsU649.jpg


二、添加rsyslog模块上传

1
vi  /etc/rsyslog .d /ssh-log .conf
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####
### 注意 ###
#配置文件中的中文注释为方便初学者,并非官方提供,中文注释可能会引起奇怪的问题。
#建议:在使用中删除所有的中文注释,如需注释可以用英文(实在不行就拼音)
 
#装载imfile模块
$ModLoad imfile
 
#检查日志文件间隔(秒)
$InputFilePollInterval 1
 
#指定日志文件的拥有者
$FileOwner root
 
# 使用自定义的格式
$ActionFileDefaultTemplate myformat
 
#状态文件保存路径,文件被用来记录扫描日志位置等信息。
#在测试中服务器收集不到日志,是因为被扫描过的文档不会再次上传,可以清空该目录缓存
$WorkDirectory  /var/spool/rsyslog
 
# 定义队列文件名
#$ActionQueueFileName relpact
 
# 重试次数, -1 表示无限重试 
#$ActionResumeRetryCount -1
 
# rsyslog关闭时将队列内容存盘,防止数据丢失 
#$ActionQueueSaveOnShutdown on
$PrivDropToGroup root
 
##日志格式模板:
$template BiglogFormatTomcat, "%msg%\n"
 
## Tomcat的catalina.out路径,根据实际情况修改:
#读取日志文件
$InputFileName  /var/log/ssh .log
#写入日志附加标签字符串
$InputFileTag  ssh -log
#日志类型,local5必须和日志收集服务器里过滤器facility(local5)里local5名字一样。
$InputFileFacility local5 
#定义记录偏移量数据文件名
$InputFileStateFile stat- ssh -log
#日志等级
$InputFileSeverity info
#回写偏移量数据到文件间隔时间(秒)
$InputFilePersistStateInterval 1
#激活读取,可以设置多组日志读取,每组结束时设置本参数。以示生效。
$InputRunFileMonitor
#提交日志到不同服务器时单独在此指定服务器IP:port,
#如都提交在同一服务器只需在rsyslog.conf里指定一次即可
# local5.*  @@192.168.1.251:514

重启rsyslog服务生效

1
#service rsyslog restart


附录:LINUX命名短格式参考

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
   
   %%    一个文字的 %
   %a    当前locale 的星期名缩写(例如: 日,代表星期日)
   %A    当前locale 的星期名全称 (如:星期日)
   %b    当前locale 的月名缩写 (如:一,代表一月)
   %B    当前locale 的月名全称 (如:一月)
   %c    当前locale 的日期和时间 (如:2005年3月3日 星期四 23:05:25)
   %C    世纪;比如 %Y,通常为省略当前年份的后两位数字(例如:20)
   %d    按月计的日期(例如:01)
   %D    按月计的日期;等于%m/%d/%y
   %e    按月计的日期,添加空格,等于%_d
   %F    完整日期格式,等价于 %Y-%m-%d
   %g    ISO-8601 格式年份的最后两位 (参见%G)
   %G    ISO-8601 格式年份 (参见%V),一般只和 %V 结合使用
   %h    等于%b
   %H    小时(00-23)
   %I    小时(00-12)
   %c    按年计的日期(001-366)
   %k    时(0-23)
   %l    时(1-12)
   %m    月份(01-12)
   %M    分(00-59)
   %n    换行
   %N    纳秒(000000000-999999999)
   %p    当前locale 下的 "上午" 或者 "下午" ,未知时输出为空
   %P    与%p 类似,但是输出小写字母
   %r    当前locale 下的 12 小时时钟时间 (如:11:11:04 下午)
   %R    24 小时时间的时和分,等价于 %H:%M
   %s    自UTC 时间 1970-01-01 00:00:00 以来所经过的秒数
   %S    秒(00-60)
   %t    输出制表符 Tab
   %T    时间,等于%H:%M:%S
   %u    星期,1 代表星期一
   %U    一年中的第几周,以周日为每星期第一天(00-53)
   %V    ISO-8601 格式规范下的一年中第几周,以周一为每星期第一天(01-53)
   %w    一星期中的第几日(0-6),0 代表周一
   %W    一年中的第几周,以周一为每星期第一天(00-53)
   %x    当前locale 下的日期描述 (如:12 /31/99 )
   %X    当前locale 下的时间描述 (如:23:13:48)
   %y    年份最后两位数位 (00-99)
   %Y    年份
   %z +hhmm              数字时区(例如,-0400)
   %:z +hh:mm            数字时区(例如,-04:00)
   %::z +hh:mm:ss        数字时区(例如,-04:00:00)
   %:::z                 数字时区带有必要的精度 (例如,-04,+05:30)
   %Z                    按字母表排序的时区缩写 (例如,EDT)




参考文章:

http://www.cnblogs.com/mchina/p/linux-centos-rsyslog-loganalyzer-mysql-log-server.html

http://blog.163.com/ly_89/blog/static/1869022992011756434459/

http://jingyan.baidu.com/article/f25ef25466bffc482c1b82b6.html

http://blog.csdn.net/jk110333/article/details/8590746/



本文转自 piazini 51CTO博客,原文链接:http://blog.51cto.com/wutou/1765451

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
5月前
|
安全 Linux Shell
Linux中SSH命令介绍
Linux中SSH命令介绍
130 2
|
1月前
|
监控 Linux 测试技术
Linux系统命令与网络,磁盘和日志监控总结
Linux系统命令与网络,磁盘和日志监控总结
52 0
|
1月前
|
监控 Linux 测试技术
Linux系统命令与网络,磁盘和日志监控三
Linux系统命令与网络,磁盘和日志监控三
37 0
|
6月前
|
Ubuntu Shell Linux
使用sshpass工具通过SSH执行远程命令
`sshpass`是一个用于在脚本中自动输入SSH密码的工具 **在Debian/Ubuntu上安装sshpass:** ```bash sudo apt-get install sshpass ``` **在CentOS/RHEL上安装sshpass:** ```bash sudo yum install sshpass ``` **在Fedora上安装sshpass:** ```bash sudo dnf install sshpass ``` 安装完成后,你可以使用`sshpass`命令通过SSH执行远程命令。以下是一个示例: ```bash sshpass -p 'yo
645 0
|
3月前
|
Ubuntu Linux Apache
在Linux中,如何使用logrotate命令管理日志文件?
在Linux中,如何使用logrotate命令管理日志文件?
|
3月前
|
存储 监控 安全
|
2月前
crash命令 —— log
crash命令 —— log
|
3月前
|
安全 Linux Shell
SSH 命令完整实用指南 | Linux SSH 服务
【8月更文挑战第20天】
385 0
|
3月前
|
jenkins 网络安全 持续交付
Jenkins Pipeline 流水线 - 上传文件 Publish over SSH 执行命令
Jenkins Pipeline 流水线 - 上传文件 Publish over SSH 执行命令
188 0
|
5月前
|
存储 监控 安全
深入探索Linux的journalctl命令:系统日志的利器
**journalctl 深入解析:Linux 系统日志的强大工具** journalctl 是 Linux 中用于查询和管理 systemd 日志的命令行工具,与 systemd-journald 配合收集广泛的信息,包括内核消息和服务日志。它提供实时追踪、过滤、导出等功能,如 `-f` 实时监控,`-u` 过滤特定服务日志,`-k` 显示内核消息,`--since` 和 `--until` 选择时间范围。在实际应用中,结合权限管理、日志空间控制和有效过滤,journalctl 成为系统管理员诊断和优化系统的得力助手。
下一篇
无影云桌面