rslsylog配置及转发redis

原创 已于 2023-10-30 16:36:07 修改 · 494 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#redis #数据库 #缓存
于 2023-10-30 16:33:19 首次发布
本文详细介绍了如何在Linux系统上安装和配置rsyslog8版,涉及不同输入源、action配置、队列选项以及Redis和Kafka插件的安装。重点讲解了选择LinkedList作为队列类型的原因及如何设置多个输入源。
背景 基于elk的采集端 

基础架构是 rsyslog-tcp-logstash es // rsyslog-redis/kafka-logstash-es

安装

vi /etc/yum.repos.d/rsyslog.repo
[rsyslog_v8]
name=Adiscon CentOS-$releasever - local packages for $basearch
baseurl=http://rpms.adiscon.com/v8-stable/epel-$releasever/$basearch
enabled=1
gpgcheck=0
gpgkey=http://rpms.adiscon.com/RPM-GPG-KEY-Adiscon
protect=1

yum install -y --enablerepo=[rsyslog_v8] rsyslog

系统默认,6版本系统安装的是5.8版的rsyslog,7版本的系统安装的是7版本的rsyslog。
而8版的语法,可靠性,性能,功能,都在提升,新版本比老版本牛逼。防止踩不必要的坑,请使用8版本。

配置文件

一般在/etc/rsyslog.conf

有3种 不同的配置方式 basic , advance  ,obsolete legacy

凡是$开头的 都是 obsolete legacy风格的配置

目前主要使用 basic和advance混搭的方式进行配置

配置主体是 input  ruleset action  global module

1.input

默认是从文件中获取输入 其他还有 imtcp imudp... 可以用input()函数声明输入

以tcp为例

input(

                         type="imtcp"

                         address="0.0.0.0"

                         port="514"

    )

    或者

    $InputTCPServerRun 514

    可以有多个输入源  ??

3.action

即 output 默认输出omfile 还有 omhiredis omfwd omkafka  omelasticsearch等

7.queue

队列分为 direct  磁盘 内存三种模式   

direct和磁盘模式都影响性能,内存模式分为FixedArray和LinkedList, 一般情况下使用LinkedList比较好。

也可以启用DA模式,内存队列和磁盘队列结合使用, 默认情况下,优先使用内存队列,当内存中队列已满时,开启磁盘队列。即可以保证高性能, 又可以防止数据丢失。

重要参数:

queue.size  队列的最大大小,不能设太小,影响性能

queue.type  可选值:FixedArray / LinkedList / Direct / Disk

queue.saveonshutdown on/off

queue.workerthreads 工作线程数,官方建议1

queue.filename 存储队列的文件名称, 仅对磁盘队列有用, 需要注意的是只能是文件名,不能包含目录

queue.spoolDirectory 存储队列的工作目录, 仅对磁盘队列有用

queue.maxdiskspace 存储队列的最大大小,仅对磁盘队列有用

queue.highwatermark 仅对DA模式有用, 队列大小达到该水平,开启磁盘辅助队列

queue.lowwatermark仅对DA模式有用,开启磁盘辅助队列后, 如果队列大小降到该水平, 关闭磁盘辅助队列,回复内存模式

插件

1.redis

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$ActionQueueFileName /data/rsyslog/queue/syslog # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 10g   # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList   # run asynchronously
#$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###
$ModLoad omhiredis
#module(load="omhiredis")
action(
type="omhiredis"
name="push_redis"
server="127.0.0.1"
serverport="6379"
mode="queue"
key="syslog"
)

2.kafka

# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
#module(load="imtcp" maxsessions="1000")
#input(
#  type="imtcp"
#  address="0.0.0.0"
#  port="514"
#)
module(load="imudp" threads="2"
       timeRequery="8" batchSize="128")
module(load="imptcp" threads="4")

input(type="imudp" port="514"
      ruleset="write2kafka")
input(type="imptcp" port="514"
      ruleset="write2kafka")

# Where to place auxiliary files
#
# # Use default timestamp format
#$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
template(name="rawFormat" type="string" string="%rawmsg%")
#$ActionFileDefaultTemplate rawFormat
#
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###
#$ModLoad omkafka
#
module(load="omkafka")

ruleset(
name="write2kafka"
queue.filename="syslog"
queue.spoolDirectory="/data/rsyslog/queue"
queue.size="10000000"
queue.maxdiskspace="10G"
queue.type="LinkedList"
queue.saveonshutdown="on"
queue.dequeueBatchSize="4096"
queue.workerThreads="10"
queue.workerThreadMinimumMessages="100000"
)
{
action(
template="rawFormat"
type="omkafka"
topic="syslog"
confParam=["compression.codec=snappy",
           "socket.timeout.ms=20",
           "socket.keepalive.enable=true"]
partitions.auto = "on"
resubmitonfailure = "on"
)
}

命令

rsyslogd –i pid文件 –f conf配置文件

可以通过 rsyslogd –N4 查看rsyslog配置是否正确

可以通过 rsyslogd –dn  进行debug

插件安装

a)  Libestr

      下载libestr最新版安装包, 解压到某个目录, 进入该目录;

      执行: ./configure --libdir=/usr/lib64 --includedir=/usr/include

      执行:  make && make install

      查看/usr/lib64目录下是否出现libestr.so等链接库,

      查看/usr/lib64/pkgconfig目录下是否出现libestr.pc

b)   Libfastjson

      下载libfastjson最新版安装包, 解压到某个目录, 进入该目录

      执行: ./configure --libdir=/usr/lib64 --includedir=/usr/include

      执行:make && make install

      查看/usr/lib64目录下是否出现libfastjson.so等链接库,

      查看/usr/lib64/pkgconfig目录下是否出现libfastjson.pc

rsyslog 安装:

          下载rsyslog 8.34.0的安装包。

     http://rpms.adiscon.com/v8-stable/epel-7/x86_64/RPMS/rsyslog-8.34.0-1.el7.centos.x86_64.rpm

     rpm -i  rsyslog-8.34.0-2.el7.centos.x86_64.rpm

          输入rsyslogd –version 查看版本号, 是否安装成功

redis插件安装

    rsyslog的redis插件依赖于hiredis, 下载hiredis 0.13.0 rpm包

    rpm –i hiredis-0.13.3-7.fc28.x86_64.rpm

         下载rsyslog-hiredis插件包

          rpm -i --nodeps rsyslog-hiredis-8.34.0-1.fc29.x86_64.rpm

          (--nodeps 否则会失败)

          查看/usr/lib64/rsyslog/omhiredis.so 是否存在

kafka 插件安装

    下载liblz4 rpm包安装

    rpm –i --nodeps lz4-1.7.3-1.el7.x86_64.rpm

     下载rsyslog-kafka插件包

    rpm -i –nodeps rsyslog-kafka-8.34.0-2.el7.centos.x86_64.rpm

    查看/usr/lib64/rsyslog/omkafka.so是否存在

问题遗留

为什么 queue 一般情况下使用LinkedList比较好。

input怎么设置可以有多个输入源  ??

使用rsyslog将日志发送到Kafka
LmzActionscript的博客
09-16 1207
在实时日志处理中,将日志发送到Kafka是一种常见的做法,它允许我们有效地收集、处理和分析大量的日志数据。通过使用rsyslog和Kafka,我们可以轻松地将日志从各种来源发送到Kafka,并实现实时的日志处理和分析。在本文中,我们介绍了如何使用rsyslog将日志发送到Kafka,并提供了相应的配置示例。我们将使用rsyslog的模板和规则来定义发送到Kafka的日志消息的格式和目标。此行将加载rsyslog的omkafka模块,该模块允许我们将日志发送到Kafka。在上面的配置中,我们定义了一个名为。
安装、配置rsyslog日志服务器
ly4983的专栏
06-28 7057
v /path/to/your/syslog-ng.conf:/etc/syslog-ng/syslog-ng.conf: 将宿主机上的Syslog-ng配置文件映射到容器内部,用于自定义Syslog-ng的行为。-p 601:601: 将容器的601端口(TCP协议)映射到宿主机的601端口,也是用于接收Syslog消息,但是通过TCP。-p 514:514/udp: 将容器的514端口(UDP协议)映射到宿主机的514端口,用于接收Syslog消息。image: 指定使用的Docker镜像。
rsyslog omkafka集群配置 后感
dl2277130327的博客
08-29 4237
这几天为了rsyslog日志检测搞得痛苦难言,将文档中的内容导入kafka中,听起来简单,过程却是十分复杂,走的弯路多,所以就把这几天的辛苦历程记录下来,给需要的同学们。         kafka+zookeeper集群的配置我就不想多说了,配通知后自己新建topic,启动producter输入数据查看consumer有没有数据到处即可;         具体的kafka那几条命令:  
Rsyslog 收集 Redis 及第三方日志简单记录
fsckzyly的博客
10-27 248
背景 ​ 现在服务器数量较多,经常需要做日志收集。耳熟能详的方案是 ELK 和后起之秀 Loki,但是有的时候项目组的资源有限,用这些方案稍显笨重,所以这时候需要操作系统自带的 Rsyslog 了。 简单记录 Rsyslog 通常操作系统自带,分为服务端和客户端,如何区分,主要是看配置。下面演示一下如何通过 Rsyslog 收集 Redis 的日志。 服务端 [root@l-rsj-wjfwq ...
Linux:日志系统rsyslog和日志轮转logrotate
一个认真学习的女孩子的博客
08-29 3067
Linux系统和许多程序会产生各种错误信息、告警信息和其他的提示信息,这些各种信息都应该记录到日志文件中,完成这个过程的程序就是rsyslog
【Linux】rsyslog日志服务(配置,测试、日志转储)
热门推荐
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
02-14 3万+
Rsyslog的全称是 rocket-fast system for log ,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。 它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。
Rsyslog 服务端与客户端部署与配置指南
srebro.cn | 运维小弟
02-06 905
本文档介绍了如何在服务端和客户端部署和配置rsyslog,并配置了客户端将日志转发到服务端。服务端根据客户端的 IP 地址生成不同的日志文件。最后,还配置了日志轮转,以确保日志文件不会过大。通过这些配置,你可以实现一个基本的集中日志管理系统。如果有其他需求,仍可根据实际情况进一步优化配置
【linux】rsyslog日志服务(配置,测试、日志转储)
qq_43331089的博客
09-09 1万+
Rsyslog的全称是,可用于接受来自各种来源的输入,转换 它们,并将结果输出到不同的目的地。它提供了高性能、强大的安全功能和模块化设计。虽然rsyslog最初是一个常规的系 统日志,但它已经发展成为一种瑞士军刀式的日志记录,当应用有限处理时, RSYSLOG每秒可以向本地目的地发送超过一百万条消息。即使使用远程目的地和更 精细的处理,性能通常被认为是“惊人的”。rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日 志消息。
Linux系统日志管理-- rsyslog
weixin_44705391的博客
03-06 7059
rsyslog
搭建rsyslog日志服务器
07-27 1768
centos7 已经用rsyslog区取代了之前的syslog,新版本功能更强大,兼容老版本。
CentOS 7 搭建rsyslog日志服务器
weixin_43465752的博客
07-02 8492
CentOS 7 搭建rsyslog日志服务器
rsyslogrsyslog开发环境搭建和使用
最新发布
qq_38089448的博客
02-13 819
此文章描述如何使用源代码构建rsyslog的流程和测试方法,如果想在ubuntu上使用,可以直接执行来完成安装。
rsyslog 写入到 redis
zhiyuan_2007的专栏
09-03 4424
最近由于项目需求,如要将syslog中的日志写入到redis数据库,以便实时分析,在网上找了一下,发现github上有一个项目 https://github.com/sami-bouafif/rsyslog-redis/blob/master/README.markdown 实现了syslog日志写入到redis中,按照DEADME中 的步骤,进行了安装和编译。期间发现了一些问题,并将最后
搭建日志服务器 rsyslog
陆家嘴伏地魔
03-30 1472
rsyslog是比syslog功能更强大的日志记录系统,可以将日志输出到文件,数据库和其它程序。
rsyslog 日志转发配置
Answer_to_you的博客
10-09 2318
syslog 日志转发功能
rsyslogd配置分析
Kami_Jiang的博客
04-23 1224
简单 分析下 rsyslogd配置 和 logrotate
rsyslog研究
u010154760的专栏
04-20 2325
第零章 综述 最近因为工作需要研究了rsyslog,主要是把官网的文档看了一遍,因为学习的过程中,发现中文资料很少,所以研究的差不多以后,决定拿出来分享一下。 rsyslog官网的文档还是挺烂的(在我看完后,官网有了一次改版,可能好一些了),尤其是配置文件部分,每个版本都有改动,但是官网只有最新版本的参数介绍,好几次我按照文档的参数写配置文件,或者报错,或者参数不起作用,因此大家使用哪个版本的
使用rsyslog转发自定义日志到指定服务器
IT布道
09-06 5009
使用rsyslog转发日志的配置方法
Rsyslog服务器服务端和客户端配置和日志转发
h952520296的博客
08-05 5826
一、设置Linux日志服务器 在Linux中配置Rsyslog 在我们理解syslog之后,现在可以通过rsyslog来将一个Linux服务器配置为一个中心syslog服务器了,另外我们也将看到如何在一个Windows的系统上配置一个syslog客户端来发送内部日志到该syslog服务器中。 第1步: 初始化系统需求 要将linux主机设置为一个中央日志服务器, 我们需要创建一个分离的 /var 分区,并分配足够大的磁盘空间或者创建一个特殊的LVM卷组。这样就会使得syslog服务器能够承担在日积月累收
rsyslog日志转发
wangchao2679的博客
07-07 3110
linux、rsyslog
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值