【Logtail最佳实践】使用Logtail采集和解析Syslog数据

目标读者

数字化系统开发运维（DevOps）工程师、稳定性工程师（SRE）、可观测平台运维人员等。

使用场景

Syslog是一种行业标准的协议，可用来记录设备的日志。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

本文档介绍如何使用Logtail采集和解析Syslog数据。

相关概念

Logtail

Logtail是日志服务提供的日志采集Agent，用于采集阿里云ECS、自建IDC、其他云厂商等服务器上的日志。本文介绍Logtail的功能、优势、使用限制及配置流程等信息。

Syslog

目前业界存在常见两种Syslog日志协议，一个是2009年的RFC5424协议，另外一个是2001年的RFC3164协议。以下介绍这两种协议的不同之处，以便在后续实践中能够灵活应用Logtail插件解析Syslog日志。

RFC5424协议

PRI VERSION SP TIMESTAMP SP HOSTNAME SP APP-NAME SP PROCID SP MSGID

RFC5424协议包含以下字段信息，具体信息请参见官方协议。

"""

Example1:

<34>1 2019-07-11T22:14:15.003Z aliyun.example.com ali - ID47 - BOM'su root' failed for lonvick on /dev/pts/8

"""

PRI -- 34

VERSION -- 1

TIMESTAMP -- 2019-07-11T22:14:15.003Z

HOSTNAME -- aliyun.example.com

APP-NAME -- ali

PROCID -- 无

MSGID -- ID47

MESSAGE -- 'su root' failed for lonvick on /dev/pts/8

"""

Example2:

<165>1 2019-07-11T22:14:15.000003-07:00 192.0.2.1 myproc 8710 - - %% It's time to make the do-nuts.

"""

PRI -- 165

VERSION -- 1

TIMESTAMP -- 2019-07-11T05:14:15.000003-07:00

HOSTNAME -- 192.0.2.1

APP-NAME -- myproc

PROCID -- 8710

STRUCTURED-DATA -- “-”

MSGID -- “-”

MESSAGE -- "%% It's time to make the do-nuts."

"""

Example3: - with STRUCTURED-DATA

<165>1 2019-07-11T22:14:15.003Z aliyun.example.com

          evntslog - ID47 [exampleSDID@32473 iut="3" eventSource=

          "Application" eventID="1011"] BOMAn application

          event log entry...

"""

PRI -- 165

VERSION -- 1

TIMESTAMP -- 2019-07-11T22:14:15.003Z

HOSTNAME -- aliyun.example.com

APP-NAME -- evntslog

PROCID -- "-"

MSGID -- ID47

STRUCTURED-DATA -- [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"]

MESSAGE -- An application event log entry...

RFC3164协议

PRI HEADER[TIME HOSTNAME] MSG

RFC3164协议包含以下字段信息，具体信息请参见官方协议。

"""

<30>Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting.

"""

PRI -- 30

HEADER

- TIME -- Oct 9 22:33:20

- HOSTNAME -- hlfedora

MSG

- TAG -- auditd[1787]

- Content --The audit daemon is exiting.

方案架构

通过Logtail插件对指定的地址和端口进行监听后，Logtail开始采集数据，包括通过rsyslog采集的系统日志以及通过syslog客户端转发的日志。

方案实施

前提条件

• 已部署好rsyslog
• 在rsyslog目标IP的机器上已安装Logtail
• 开通阿里云日志服务

操作步骤

场景一：采集Linux系统Syslog

步骤1：为rsyslog添加一条转发规则

1. 在syslog所在的服务器上修改rsyslog的配置文件/etc/rsyslog.conf，在配置文件的最后添加一行转发规则。添加转发规则后，rsyslog会将syslog转发至指定IP地址和端口上。

UDP转发配置格式:

*.* @${日志服务器的ip}:{日志服务器的端口}  

TCP转发配置格式:

*.* @@${日志服务器的ip}:{日志服务器的端口}  

例如以下配置表示将所有的日志都通过TCP转发至127.0.0.1:9000，配置文件详细说明请参见RSyslog Documentation。

*.* @@127.0.0.1:9000

ps：

• 如果通过当前服务器采集本机syslog，配置转发地址为127.0.0.1，端口为任意非知名的空闲端口。
• 如果通过其他服务器采集本机syslog，配置转发地址为其他服务器的公网IP，端口为任意非知名的空闲端口。

2. 执行以下命令重启rsyslog，使日志转发规则生效。

sudo service rsyslog restart

步骤2：创建采集配置

1. 创建Project、Logstore

a. 登录日志服务控制台，在Project列表页面，选择已有的Project或者创建新的Project。

b. 在日志库标签页，选择已有Logstore或者单击+图标创建新的Logstore。

2. 创建/选择机器组

a. 在数据接入-> Logtail配置，点击+，接入数据

b. 快速数据接入页面，选择自定义数据插件。

c. 创建/选择机器组。

• 如果您已有可用的机器组，请单击使用现有机器组。
• 如果您还没有可用的机器组，请执行以下操作（以ECS为例）。在ECS机器页签中，通过手动选择实例方式选择目标ECS实例，单击立即执行。 安装完成后，单击确认安装完毕。
• 在创建机器组页面，输入名称，单击下一步。日志服务支持创建IP地址机器组和用户自定义标识机器组

3.  配置插件

同时监听UDP和TCP的示例配置如下：

{

    "inputs": [

        {

            "type": "service_syslog",

            "detail": {

                "Address": "tcp://127.0.0.1:9000",

                "ParseProtocol": "rfc3164"

            }

        },

        {

            "type": "service_syslog",

            "detail": {

                "Address": "udp://127.0.0.1:9001",

                "ParseProtocol": "rfc3164"

            }

        }

    ]

}

步骤3：验证采集结果

场景二：采集Windows系统Syslog

通过Windos的事件查看器，我们可以看到Windows系统的Syslog分成了两部分，一部分是Windows日志，一部分是应用程序和服务日志。

步骤1:  安装配置Rsyslog Windows Agent

安装步骤参考官网

通过Event Channels，我们可以选择rsyslog需要采集的日志

通过Rsyslog的配置，可以选择发送的目标地址（ip和端口）和发送的协议（TCP/UDP）

在Syslog Message Options的选项里，可以选择数据格式的协议，目前Logtail只支持解析rfc3164和rfc5424协议的数据。

步骤2:  创建采集配置

具体操作步骤同上，注意插件的配置需要和agent的配置相匹配：

{

   "inputs": [

       {

           "detail": {

               "ParseProtocol": "rfc3164",

               "Address": "tcp://192.168.0.171:1514"

           },

           "type": "service_syslog"

       }

   ]

}

步骤3: 验证采集结果

Syslog Test Message 工具

Rsyslog Windows agent提供了test message工具，可以将测试数据发送到指定的地址，用来确认网络的连通性。如果Logstore中没有成功采集到数据，使用此工具，可以验证是否有网络问题。

发送成功的样例

发送失败的样例

常见问题

• 网络不通问题排查思路

1. 端口是否被其他服务占用
2. 是否有安全组配置或者防火墙等网络安全配置

• 跨服务器转发syslog应该如何配置

例如有A（linux，192.168.0.171）和B（linux，192.168.0.172）两台服务器，Logtail可以只安装在其中一台上。

• A和B的rsyslog 都使用如下配置，表示将所有的日志都通过TCP转发至192.168.0.171:1514即A 服务器上

*.* @@192.168.0.171:1514

• 采集配置如下，即可监听192.168.0.171:1514端口，收集来自A和B两条机器上的数据

{

   "inputs": [

       {

           "detail": {

               "ParseProtocol": "rfc3164",

               "Address": "tcp://192.168.0.171:1514"

           },

           "type": "service_syslog"

       }

   ]

}

参考

• 使用Logtail自定义插件采集数据：https://help.aliyun.com/document_detail/65064.html
• SLS（日志服务）云原生观测分析平台：https://www.aliyun.com/product/sls
• 欢迎扫群加入阿里云-日志服务（SLS）技术交流或关注公众号, 获得第一手资料与支持：