日志中有大量的信息需要你处理，尽管有时候想要提取并非想象中的容易。在这篇文章中我们会介绍一些你现在就能做的基本日志分析例子（只需要搜索即可）。我们还将涉及一些更高级的分析，但这些需要你前期努力做出适当的设置，后期就能节省很多时间。对数据进行高级分析的例子包括生成汇总计数、对有效值进行过滤，等等。

我们首先会向你展示如何在命令行中使用多个不同的工具，然后展示了一个日志管理工具如何能自动完成大部分繁重工作从而使得日志分析变得简单。

用 Grep 搜索

搜索文本是查找信息最基本的方式。搜索文本最常用的工具是 grep。这个命令行工具在大部分 Linux 发行版中都有，它允许你用正则表达式搜索日志。正则表达式是一种用特殊的语言写的、能识别匹配文本的模式。最简单的模式就是用引号把你想要查找的字符串括起来。

正则表达式

这是一个在 Ubuntu 系统的认证日志中查找 “user hoover” 的例子：

$ grep "user hoover" /var/log/auth.log
Accepted password for hoover from 10.0.2.2 port 4792 ssh2
pam_unix(sshd:session): session opened for user hoover by (uid=0)
pam_unix(sshd:session): session closed for user hoover

构建精确的正则表达式可能很难。例如，如果我们想要搜索一个类似端口 “4792” 的数字，它可能也会匹配时间戳、URL 以及其它不需要的数据。Ubuntu 中下面的例子，它匹配了一个我们不想要的 Apache 日志。

$ grep "4792" /var/log/auth.log
Accepted password for hoover from 10.0.2.2 port 4792 ssh2
74.91.21.46 - - [31/Mar/2015:19:44:32 +0000] "GET /scripts/samples/search?q=4972 HTTP/1.0" 404 545 "-" "-”

环绕搜索

另一个有用的小技巧是你可以用 grep 做环绕搜索。这会向你展示一个匹配前面或后面几行是什么。它能帮助你调试导致错误或问题的东西。B 选项展示前面几行，A 选项展示后面几行。举个例子，我们知道当一个人以管理员员身份登录失败时，同时他们的 IP 也没有反向解析，也就意味着他们可能没有有效的域名。这非常可疑！

$ grep -B 3 -A 2 'Invalid user' /var/log/auth.log
Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: reverse mapping checking getaddrinfo for 216-19-2-8.commspeed.net [216.19.2.8] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]
Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Invalid user admin from 216.19.2.8
Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: input_userauth_request: invalid user admin [preauth]
Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]

Tail

你也可以把 grep 和 tail 结合使用来获取一个文件的最后几行，或者跟踪日志并实时打印。这在你做交互式更改的时候非常有用，例如启动服务器或者测试代码更改。

$ tail -f /var/log/auth.log | grep 'Invalid user'
Apr 30 19:49:48 ip-172-31-11-241 sshd[6512]: Invalid user ubnt from 219.140.64.136
Apr 30 19:49:49 ip-172-31-11-241 sshd[6514]: Invalid user admin from 219.140.64.136

关于 grep 和正则表达式的详细介绍并不在本指南的范围，但 Ryan’s Tutorials 有更深入的介绍。

日志管理系统有更高的性能和更强大的搜索能力。它们通常会索引数据并进行并行查询，因此你可以很快的在几秒内就能搜索 GB 或 TB 的日志。相比之下，grep 就需要几分钟，在极端情况下可能甚至几小时。日志管理系统也使用类似 Lucene 的查询语言，它提供更简单的语法来检索数字、域以及其它。

用 Cut、 AWK、 和 Grok 解析

命令行工具

Linux 提供了多个命令行工具用于文本解析和分析。当你想要快速解析少量数据时非常有用，但处理大量数据时可能需要很长时间。

Cut

cut 命令允许你从有分隔符的日志解析字段。分隔符是指能分开字段或键值对的等号或逗号等。

假设我们想从下面的日志中解析出用户：

pam_unix(su:auth): authentication failure; logname=hoover uid=1000 euid=0 tty=/dev/pts/0 ruser=hoover rhost=  user=root

我们可以像下面这样用 cut 命令获取用等号分割后的第八个字段的文本。这是一个 Ubuntu 系统上的例子：

$ grep "authentication failure" /var/log/auth.log | cut -d '=' -f 8
root
hoover
root
nagios
nagios

AWK

另外，你也可以使用 awk，它能提供更强大的解析字段功能。它提供了一个脚本语言，你可以过滤出几乎任何不相干的东西。

例如，假设在 Ubuntu 系统中我们有下面的一行日志，我们想要提取登录失败的用户名称：

Mar 24 08:28:18 ip-172-31-11-241 sshd[32701]: input_userauth_request: invalid user guest [preauth]

你可以像下面这样使用 awk 命令。首先，用一个正则表达式 /sshd.*invalid user/ 来匹配 sshd invalid user 行。然后用 { print $9 } 根据默认的分隔符空格打印第九个字段。这样就输出了用户名。

$ awk '/sshd.*invalid user/ { print $9 }' /var/log/auth.log
guest
admin
info
test
ubnt

你可以在 Awk 用户指南 中阅读更多关于如何使用正则表达式和输出字段的信息。

日志管理系统

日志管理系统使得解析变得更加简单，使用户能快速的分析很多的日志文件。他们能自动解析标准的日志格式，比如常见的 Linux 日志和 Web 服务器日志。这能节省很多时间，因为当处理系统问题的时候你不需要考虑自己写解析逻辑。

下面是一个 sshd 日志消息的例子，解析出了每个 remoteHost 和 user。这是 Loggly 中的一张截图，它是一个基于云的日志管理服务。

你也可以对非标准格式自定义解析。一个常用的工具是 Grok，它用一个常见正则表达式库，可以解析原始文本为结构化 JSON。下面是一个 Grok 在 Logstash 中解析内核日志文件的事例配置：

filter{
  grok  {
    match => {"message" => "%{CISCOTIMESTAMP:timestamp} %{HOST:host} %{WORD:program}%{NOTSPACE} %{NOTSPACE}%{NUMBER:duration}%{NOTSPACE} %{GREEDYDATA:kernel_logs}"
  }
}

下图是 Grok 解析后输出的结果：

用 Rsyslog 和 AWK 过滤

过滤使得你能检索一个特定的字段值而不是进行全文检索。这使你的日志分析更加准确，因为它会忽略来自其它部分日志信息不需要的匹配。为了对一个字段值进行搜索，你首先需要解析日志或者至少有对事件结构进行检索的方式。

如何对应用进行过滤

通常，你可能只想看一个应用的日志。如果你的应用把记录都保存到一个文件中就会很容易。如果你需要在一个聚集或集中式日志中过滤一个应用就会比较复杂。下面有几种方法来实现：

1. 用 rsyslog 守护进程解析和过滤日志。下面的例子将 sshd 应用的日志写入一个名为 sshd-message 的文件，然后丢弃事件以便它不会在其它地方重复出现。你可以将它添加到你的 rsyslog.conf 文件中测试这个例子。

:programname, isequal, “sshd” /var/log/sshd-messages
&~

2. 用类似 awk 的命令行工具提取特定字段的值，例如 sshd 用户名。下面是 Ubuntu 系统中的一个例子。

$ awk '/sshd.*invalid user/ { print $9 }' /var/log/auth.log
guest
admin
info
test
ubnt

3. 用日志管理系统自动解析日志，然后在需要的应用名称上点击过滤。下面是在 Loggly 日志管理服务中提取 syslog 域的截图。我们对应用名称 “sshd” 进行过滤，如维恩图图标所示。

如何过滤错误

一个人最希望看到日志中的错误。不幸的是，默认的 syslog 配置不直接输出错误的严重性，也就使得难以过滤它们。

这里有两个解决该问题的方法。首先，你可以修改你的 rsyslog 配置，在日志文件中输出错误的严重性，使得便于查看和检索。在你的 rsyslog 配置中你可以用 pri-text 添加一个 模板，像下面这样：

"<%pri-text%> : %timegenerated%,%HOSTNAME%,%syslogtag%,%msg%n"

这个例子会按照下面的格式输出。你可以看到该信息中指示错误的 err。

<authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure

你可以用 awk 或者 grep 检索错误信息。在 Ubuntu 中，对这个例子，我们可以用一些语法特征，例如 . 和 >，它们只会匹配这个域。

$ grep '.err>' /var/log/auth.log
<authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure

你的第二个选择是使用日志管理系统。好的日志管理系统能自动解析 syslog 消息并抽取错误域。它们也允许你用简单的点击过滤日志消息中的特定错误。

下面是 Loggly 中一个截图，显示了高亮错误严重性的 syslog 域，表示我们正在过滤错误：

via: http://www.loggly.com/ultimate-guide/logging/analyzing-linux-logs/

作者：Jason Skowronski,Amy Echeverri, Sadequl Hussain 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

问题： 我尝试着解决我 Linux 系统上的 Apache Web 服务器的错误，Apache的错误日志文件放在[XX Linux 版本]的哪个位置呢？

错误日志和访问日志文件为系统管理员提供了有用的信息，比如，为 Web 服务器排障，保护系统不受各种各样的恶意活动侵犯，或者只是进行各种各样的分析以监控 HTTP 服务器。根据你 Web 服务器配置的不同，其错误/访问日志可能放在你系统中不同位置。

本文可以帮助你找到Linux上的Apache错误日志。

Debian，Ubuntu或Linux Mint上的Apache错误日志位置

默认的错误日志

在基于Debian的Linux上，系统范围的Apache错误日志默认位置是/var/log/apache2/error.log。默认位置可以通过编辑Apache的配置文件进行修改。

自定义的错误日志

要找到自定义的错误日志位置，请用文本编辑器打开 /etc/apache2/apache2.conf，然后查找以 ErrorLog 开头的行，该行指定了自定义的 Apache 错误日志文件的位置。例如，在未经修改的 Apache 配置文件中可以找到以下行：

ErrorLog ${APACHE_LOG_DIR}/error.log

在本例中，该位置使用 APACHELOGDIR 环境变量进行配置，该变量在 /etc/apache2/envvars 中已被定义。

export APACHE_LOG_DIR=/var/log/apache2$SUFFIX

在实际情况中， ErrorLog 可能会指向你 Linux 系统中任意路径。

使用虚拟主机自定义的错误日志

如果在 Apache Web 服务器中使用了虚拟主机， ErrorLog 指令可能会在虚拟主机容器内指定，在这种情况下，上面所说的系统范围的错误日志位置将被忽略。

启用了虚拟主机后，各个虚拟主机可以定义其自身的自定义错误日志位置。要找出某个特定虚拟主机的错误日志位置，你可以打开 /etc/apache2/sites-enabled/.conf，然后查找 ErrorLog 指令，该指令会显示站点指定的错误日志文件。

CentOS，Fedora或RHEL上的Apache错误日志位置

默认的错误日志

在基于 Red Hat 的Linux中，系统范围的 Apache 错误日志文件默认被放置在/var/log/httpd/error\_log。该默认位置可以通过修改 Apache 配置文件进行自定义。

自定义的错误日志

要找出 Apache 错误日志的自定义位置，请用文本编辑器打开 /etc/httpd/conf/httpd.conf，然后查找 ServerRoot，该参数显示了 Apache Web 服务器目录树的顶层，日志文件和配置都位于该目录树中。例如：

ServerRoot "/etc/httpd"

现在，查找 ErrorLog 开头的行，该行指出了 Apache Web 服务器将错误日志写到了哪里去。注意，指定的位置是 ServerRoot 值的相对位置。例如：

ErrorLog "log/error_log"

结合上面的两个指令，可以获得完整的错误日志路径，默认情况下该路径就是 /etc/httpd/logs/errorlog。在全新安装的Apache中，这是一个到 /var/log/httpd/errorlog 的符号链接。

在实际情况中， ErrorLog 可能指向你 Linux 系统中的任意位置。

使用虚拟主机自定义的错误日志

如果你启用了虚拟主机，你可以通过检查 /etc/httpd/conf/httpd.conf（或其它任何定义了虚拟主机的文件）来找到各个虚拟主机的错误日志位置。在独立的虚拟主机部分查找 ErrorLog。如，在下面的虚拟主机部分，错误日志的位置是 /var/www/xmodulo.com/logs/error\_log。

<VirtualHost *:80>
    ServerAdmin [email protected]
    DocumentRoot /var/www/xmodulo.com/public_html
    ServerName www.xmodulo.com
    ServerAlias xmodulo.com
    ErrorLog /var/www/xmodulo.com/logs/error_log
    CustomLog /var/www/xmodulo.com/logs/access_log
<VirtualHost>

via: http://ask.xmodulo.com/apache-error-log-location-linux.html

作者：Dan Nanni 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

无论你是在网站托管业务，还是在自己的VPS上运行几个网站，你总会有需要显示访客统计信息，例如前几的访客、访问请求的文件（无论动态或者静态）、所用的带宽、客户端的浏览器，和访问的来源网站，等等。

GoAccess 是一款用于Apache或者Nginx的命令行日志分析器和交互式查看器。使用这款工具，你不仅可以浏览到之前提及的相关数据，还可以通过分析网站服务器日志来进一步挖掘数据 - 而且这一切都是在一个终端窗口实时输出的。由于今天的大多数web服务器都使用Debian的衍生版或者基于RedHat的发行版来作为底层操作系统，所以本文中我告诉你如何在Debian和CentOS中安装和使用GoAccess。

在Linux系统安装GoAccess

在Debian，Ubuntu及其衍生版本，运行以下命令来安装GoAccess：

# aptitude install goaccess 

在CentOS中，你将需要使你的EPEL 仓库可用然后执行以下命令：

# yum install goaccess

在Fedora，同样使用yum命令：

# yum install goaccess 

如果你想从源码安装GoAccess来使用更多功能（例如 GeoIP 定位功能），需要在你的操作系统安装必需的依赖包，然后按以下步骤进行：

# wget http://tar.goaccess.io/goaccess-0.8.5.tar.gz   
# tar -xzvf goaccess-0.8.5.tar.gz
# cd goaccess-0.8.5/
# ./configure --enable-geoip
# make
# make install 

以上安装的版本是 0.8.5，但是你也可以在该软件的网站下载页确认是否是最新版本。

由于GoAccess不需要后续的配置，一旦安装你就可以马上使用。

运行 GoAccess

开始使用GoAccess，只需要对它指定你的Apache访问日志。

对于Debian及其衍生版本：

# goaccess -f /var/log/apache2/access.log

基于红帽的发行版：

# goaccess -f /var/log/httpd/access_log 

当你第一次启动GoAccess，你将会看到如下的屏幕中选择日期和日志格式。正如前面所述，你可以按空格键进行选择，并按F10确认。至于日期和日志格式，你可能需要参考Apache 文档来刷新你的记忆。

在这个例子中，选择常见日志格式（Common Log Format(CLF)）：

然后按F10 确认。你将会从屏幕上看到统计数据。为了简洁起见，这里只显示了首部，也就是日志文件的摘要，如下图所示：

通过 GoAccess来浏览网站服务器统计数据

你可以按向下的箭头滚动页面，你会发现以下区域，它们是按请求排序的。这里提及的目录顺序可能会根据你的发行版或者你所选的安装方式（从源和库）不同而不同：

1. 每天唯一访客（来自同样IP、同一日期和同一浏览器的请求被认为是是唯一访问）

2. 请求的文件（网页URL）

3. 请求的静态文件（例如，.png文件，.js文件等等）
4. 来源的URLs（每一个URL请求的出处）
5. HTTP 404 未找到的响应代码

6. 操作系统
7. 浏览器
8. 主机地址（客户端IP地址）

9. HTTP 状态代码

10. 前几位的来源站点
11. 来自谷歌搜索引擎的前几位的关键字

如果你想要检查已经存档的日志，你可以通过管道将它们发送给GoAccess，如下：

在Debian及其衍生版本：

# zcat -f /var/log/apache2/access.log* | goaccess 

在基于红帽的发行版：

# cat /var/log/httpd/access* | goaccess 

如果你需要上述部分的详细报告（1至11项），直接按下其序号再按O（大写o），就可以显示出你需要的详细视图。下面的图像显示5-O的输出（先按5，再按O）

如果要显示GeoIP位置信息，打开主机部分的详细视图，如前面所述，你将会看到正在请求你的服务器的客户端IP地址所在的位置。

如果你的系统还不是很忙碌，以上提及的章节将不会显示大量的信息，但是这种情形可以通过在你网站服务器越来越多的请求发生改变。

保存用于离线分析的报告

有时候你不想每次都实时去检查你的系统状态，可以保存一份在线的分析文件或打印出来。要生成一个HTML报告，只需要通过之前提到GoAccess命令，将输出来重定向到一个HTML文件即可。然后，用web浏览器来将这份报告打开即可。

# zcat -f /var/log/apache2/access.log* | goaccess > /var/www/webserverstats.html

一旦报告生成，你将需要点击展开的链接来显示每个类别详细的视图信息：

可以查看youtube视频：https://youtu.be/UVbLuaOpYdg 。

正如我们通过这篇文章讨论，GoAccess是一个非常有价值的工具，它能给系统管理员实时提供可视的HTTP 统计分析。虽然GoAccess的默认输出是标准输出，但是你也可以将他们保存到JSON，HTML或者CSV文件。这种转换可以让 GoAccess在监控和显示网站服务器的统计数据时更有用。

via: http://xmodulo.com/interactive-apache-web-server-log-analyzer-linux.html

作者：Gabriel Cánepa 译者：disylee 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Ramlog 以系统守护进程的形式运行。在系统启动时它创建虚拟磁盘（ramdisk），将 /var/log 下的文件复制到虚拟磁盘中，同时把虚拟磁盘挂载为/var/log。然后所有的日志就会更新到虚拟磁盘上。而当 ramlog 重启或停止时，需要记录到硬盘上的日志就会保留在目录/var/log.hdd中。而关机的时候，（ramdisk上的）日志文件会重新保存到硬盘上，以确保日志一致性。Ramlog 2.x默认使用tmpfs文件系统，同时也可以支持ramfs和内核ramdisk。使用rsync（译注：Linux数据镜像备份工具）这个工具来同步日志。

注意：如果突然断电或者内核崩溃（kernel panic）时，没有保存进硬盘的日志将会丢失。

如果你拥有够多的可用内存，而又想把日志放进虚拟磁盘，就安装ramlog吧。它是笔记本用户、带有UPS的系统或是直接在flash中运行的系统的优良选择，可以节省日志的写入时间。

Ramlog的运行机制以及步骤如下：

1. Ramlog 由第一个守护进程（这取决于你所安装过的其它守护进程）启动。
2. 然后创建目录/var/log.hdd并将其硬链至/var/log。
3. 如果使用的是tmpfs（默认）或者ramfs 文件系统，将其挂载到/var/log上。
4. 而如果使用的是内核ramdisk，ramdisk会在/dev/ram9中创建，并将其挂载至/var/log。默认情况下ramlog会占用所有ramdisk的内存，其大小由内核参数"ramdisk\_size"指定。
5. 接着其它的守护进程被启动，并在ramdisk中更新日志。Logrotate（译注：Linux日志轮替工具）和 ramdisk 配合的也很好。
6. 重启（默认一天一次）ramlog时，目录/var/log.hdd将借助rsync与/var/log保持同步。日志自动保存的频率可以通过cron（译注：Linux例行性工作调度）来控制。默认情况下，ramlog 的调度任务放置在目录/etc/cron.daily下。
7. 系统关机时，ramlog在最后一个守护进程关闭之前关闭。
8. 在ramlog关闭期间，/var/log.hdd中的文件将被同步至/var/log，接着/var/log和/var/log.hdd都被卸载，然后删除空目录/var/log.hdd。

注意:- 此文仅面向高级用户

在Ubuntu中安装Ramlog

首先需要用以下命令，从这里下载.deb安装包：

wget http://www.tremende.com/ramlog/download/ramlog_2.0.0_all.deb

下载ramlog\_2.0.0\_all.deb安装包完毕，使用以下命令进行安装：

sudo dpkg -i ramlog_2.0.0_all.deb

这一步会完成整个安装，现在你需要运行以下命令：

sudo update-rc.d ramlog start 2 2 3 4 5 . stop 99 0 1 6 .

现在，在更新sysklogd的初始化顺序，使之能在ramlog停止运行前正确关闭：

sudo update-rc.d -f sysklogd remove

sudo update-rc.d sysklogd start 10 2 3 4 5 . stop 90 0 1 6 .

然后重启系统：

sudo reboot

系统重启完毕，运行'ramlog getlogsize'来获取你当前的/var/log的空间大小。在此基础之上多分配40%的空间，确保ramdisk有足够的空间（这整个都将作为ramdisk的空间大小）。

编辑引导配置文件，如/etc/grub.conf,、/boot/grub/menu.lst 或/etc/lilo.conf（译注：具体哪个配置文件视不同引导加载程序而定），给你的当前内核的新增选项 'ramdisk\_size=xxx' ，其中xxx是ramdisk的空间大小。

配置Ramlog

基于deb的系统中，Ramlog的配置文件位于/etc/default/ramlog，你可以在该配置文件中设置以下变量：

RAMDISKTYPE=0
# 取值:
# 0 -- tmpfs （可被交换到交换分区） -- 默认
# 1 -- ramfs （旧内核不能设置最大空间大小， 
# 不能被交换到交换分区，和 SELinux 不兼容）
# 2 -- 老式的内核 ramdisk
TMPFS_RAMFS_SIZE=
# 可以用于 tmpfs 或 ramfs 的最大内存大小
# 这个值可以是百分比或数值（单位是 Mb），例如：
# TMPFS_RAMFS_SIZE=40%
# TMPFS_RAMFS_SIZE=100m
# 该值为空表示 tmpfs/ramfs 的大小是全部内存的 50%
# 更多选项可以参考 ‘man mount' 中的‘Mount options for tmpfs' 一节
# （补充，在较新的内核中，ramfs  支持大小限制，
# 虽然 man 中说没有这个挂载选项）
# 该选项仅用于 RAMDISKTYPE=0 或 1 时
KERNEL_RAMDISK_SIZE=MAX
#以 kb 为单位指定的内核 ramdisk 大小，或者使用 MAX 来使用整个 ramdisk。
#该选项仅用于 RAMDISKTYPE=2 时
LOGGING=1
# 0=关闭, 1=打开 。记录自身的日志到 /var/log/ramdisk
LOGNAME=ramlog
# 自身的日志文件名 （用于 LOGGING=1时）
VERBOSE=1
# 0=关闭, 1=打开 （设置为 1时，启动或停止失败时会调用 teststartstop 将细节
# 写到日志中） 

在Ubuntu中卸载ramlog

打开终端运行以下命令：

sudo dpkg -P ramlog

注意：如果ramlog卸载之前仍在运行，需要重启系统完成整个卸载工作。

via: http://www.ubuntugeek.com/improve-system-performance-by-moving-your-log-files-to-ram-using-ramlog.html

作者：ruchi 译者：soooogreen 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

syslog服务器可以用作一个网络中的日志监控中心，所有能够通过网络来发送日志的设施（包含了Linux或Windows服务器，路由器，交换机以及其他主机）都可以把日志发送给它。 通过设置一个syslog服务器，可以将不同设施/主机发送的日志，过滤和合并到一个独立的位置，这样使得你更容易地查看和获取重要的日志消息。

rsyslog 作为标准的syslog守护进程，预装在了大多数的Linux发行版中。在客户端/服务器架构的配置下，rsyslog同时扮演了两种角色：1.作为一个syslog服务器，rsyslog可以收集来自其他设施的日志信息；2.作为一个syslog客户端，rsyslog可以将其内部的日志信息传输到远程的syslog服务器。

在此，我们演示了在linux上如何通过rsyslog来配置一个中心化syslog服务器。 在进入详解之前，先温习一下syslog标准。

syslog标准基础

当通过syslog机制来收集日志时，有3个必须要考虑到的重要事情：

• 设施层级: 监听何种类型的进程
• 严重性 （优先） 级别: 收集何种级别的日志消息
• 目标: 发送或记录日志消息到何处

现在我们更加深入地了解一下配置是如何定义的。

设施层级定义了一种用来对内部系统进程进行分类的方法，linux中的一些常见的设施包括:

• auth: 身份验证相关的消息（登录时）
• cron: 进程或应用调度相关的消息
• daemon: 守护进程相关的消息（内部服务器）
• kernel: 内核相关的消息
• mail: 内部邮件服务器相关的消息
• syslog: syslog 守护进程本身相关的消息
• lpr: 打印服务相关的消息
• local0 - local7: 用户自定义的消息 （local7 通常被Cisco 和 Windows 服务器 使用）

严重性（优先）级别有固定的标准缩写和指代的值，其中的数字7具有最高的级别，这些级别包含了：

• emerg: Emergency（紧急）- 0
• alert: Alerts （报警）- 1
• crit: Critical (关键）- 2
• err: Errors （错误）- 3
• warn: Warnings （警告）- 4
• notice: Notification （通知）- 5
• info: Information （消息）- 6
• debug: Debugging （调试）- 7

最后，目标语句会让一个syslog客户端来执行以下三个任务之一：

1. 保存日志消息到一个本地文件；
2. 通过TCP/UDP将消息路由到远程的syslog服务器中；
3. 将其发送到一个标准输出中，例如控制台。

在 rsyslog里, syslog的配置是基于以下模式进行结构化的。

[facility-level].[severity-level]  [destination]

在Linux中配置Rsyslog

在我们理解syslog之后，现在可以通过rsyslog来将一个Linux服务器配置为一个中心syslog服务器了，另外我们也将看到如何在一个Windows的系统上配置一个syslog客户端来发送内部日志到该syslog服务器中。

第1步: 初始化系统需求

要将linux主机设置为一个中央日志服务器， 我们需要创建一个分离的 /var 分区，并分配足够大的磁盘空间或者创建一个特殊的LVM卷组。这样就会使得syslog服务器能够承担在日积月累收集日志所带来的潜在增长。

第2步: 让rsyslog 后台进程生效

rsyslog守护进程来自于当前的linux发布版本的预装模块，但是默认并没有启动。为了能够让rsyslog守护进程能够接受外部的消息，需要编辑其配置文件/etc/rsyslog.conf.

打开文件进行编辑，查找到下面的两行所在的位置，通过删除其行首的#字符来取消注释。

$ModLoad imudp
$UDPServerRun 514

这会使得rsysolog守护进程能够在UDP端口514上接受日志消息了---UDP是一种比TCP速度快，但是并不具有TCP一样的数据流的可靠性。所以如果你需要使用可靠的传送机制，就可以通过取消以下行的注释。

$ModLoad imtcp
$InputTCPServerRun 514 

需要注意的是，TCP和UDP可以被同时生效来监听TCP/UDP 连接。

第3步：创建日志接收模板

接下来的这步，需要我们来为远程消息创建模板，并告知rsyslog守护进程如何记录从其他客户端机器所接受到的消息。

使用文本编辑器来打开 /etc/rsyslog.conf，然后在GLOBAL DIRECTIVE块前追加以下的模板。

$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" *
*.*  ?RemoteLogs
& ~

在此对该模板进行简单解释，$template RemoteLogs（这里“RemoteLogs” 字符串可以为任何其他的描述性的名称）指令使rsyslog后台进程将日志消息写到/var/log下的单独的本地日志文件中，其中日志文件的名称是基于远程日志发送机器的主机名以及生成该日志的应用程序名进行定义的。其中第二行暗示了我们将RemoteLogs模板应用到所有接收到的日志上。

符号"& ~"表示了一个重定向规则，被用来告知rsyslog守护进程停止对日志消息的进一步处理，并且不要在本地写入。如果没有使用该重定向规则，那么所有的远程消息都会在写入上述描述的日志文件之外同时被写入到本地日志文件，这就意味着日志消息实际上被写了两次。使用该规则的另外一个结果就是syslog服务器本身的日志消息只会被以该机器主机名命名的专有文件中。

如果你想要的话，也可以使用下面的模式对特定的设备或严重性级别使用新的模板直接来记录日志消息。

[facility-level].[severity-level]    ?RemoteLogs

例如：

将全部优先级别的所有内部用户验证消息指定为RemoteLogs模板：

authpriv.*   ?RemoteLogs 

将所有系统进程中除开mail、用户验证和cron消息之外的进程产生的消息级别的日志指定为RemoteLogs模板：

*.info,mail.none,authpriv.none,cron.none    ?RemoteLogs

如果我们想要将所有从远程客户端接受到的消息写入到一个以它们的IP地址命名的单个文件中，可以使用以下的模板。在此我们为该模板赋予了“IpTemplate”名称。

$template IpTemplate,"/var/log/%FROMHOST-IP%.log" 
*.*  ?IpTemplate 
& ~ 

在我们启用rsyslog守护进程并编辑好配置文件之后，需要重启该守护进程。

在 Debian，Ubuntu 或 CentOS/RHEL 6中：

$ sudo service rsyslog restart 

在 Fedora 或 CentOS/RHEL 7中：

$ sudo systemctl restart rsyslog 

我们可以通过netstat命令来验证rsyslog守护进程是否正常工作。

 $ sudo netstat -tulpn | grep rsyslog 

在UDP监听端口下工作的rsyslog守护进程会有类似下面的输出。

udp     0 0    0.0.0.0:514    0.0.0.0:*      551/rsyslogd 
udp6    0 0    :::514         :::*           551/rsyslogd 

如果rsyslog守护进程被设置在TCP连接端口，那么应该有类似下面所示的输出。

tcp     0 0     0.0.0.0:514   0.0.0.0:*     LISTEN    1891/rsyslogd 
tcp6    0 0     :::514        :::*          LISTEN    1891/rsyslogd

发送Windows日志到一个远程的rsyslog服务器

要将一个Windows客户端的日志消息转发到我们的rsyslog服务器，需要一个安装 Windows syslog 代理。当然，有许多的syslog代理可以在windows上运行，在此我们可以使用一个自由软件程序 Datagram SyslogAgent.

在下载安装该syslog代理后，需要将其配置为作为服务运行。指定使用何种协议来发送数据，以及远程rsyslog服务器的IP地址和端口，最后指定应该传输的事件日志类型，如下所示。

在我们完成所有的这些配置之后，我们就可以启动该服务并且在中央rsyslog服务器中使用命令行工具tail -f来查看日志文件了。

总结

通过创建一个可以收集本地和远程主机的中央rsyslog服务器，我们可以更好地了解在这些系统内部究竟发生着什么，而且可以更加容易地调试它们的问题，是否在它们之间有任何延迟或崩溃存在。

via: http://xmodulo.com/configure-syslog-server-linux.html

作者：Caezsar M 译者：theo-l 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

rsyslog是一个开源工具，被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。rsyslog守护进程可以被配置成两种环境，一种是配置成日志收集服务器，rsyslog进程可以从网络中收集其它主机上的日志数据，这些主机会将日志配置为发送到另外的远程服务器。rsyslog的另外一个用法，就是可以配置为客户端，用来过滤和发送内部日志消息到本地文件夹（如/var/log）或一台可以路由到的远程rsyslog服务器上。

假定你的网络中已经有一台已经配置好并启动的rsyslog服务器，本指南将为你展示如何来设置CentOS系统将其内部日志消息路由到一台远程rsyslog服务器上。这将大大改善你的系统磁盘空间的使用，尤其是当你还没有一个用于/var目录的独立的大分区。

步骤一： 安装Rsyslog守护进程

在CentOS 6和7上，rsyslog守护进程已经预先安装了。要验证rsyslog是否已经安装到你的CentOS系统上，请执行如下命令：

# rpm -qa | grep rsyslog
# rsyslogd -v 

如果处于某种原因，rsyslog守护进程没有出现在你的系统中，请使用以下命令来安装：

 # yum install rsyslog 

步骤二： 配置Rsyslog守护进程为客户端

接下来的步骤，是要将你的CentOS机器转变成rsyslog客户端，将其所有内部日志消息发送到远程中央日志服务器上。

要实现该功能，请使用你喜爱的文本编辑器打开位于/etc路径下的rsyslog主配置文件：

# nano /etc/rsyslog.conf 

开启文件用于编辑后，你需要添加以下声明到文件底部。将IP地址替换为你的远程rsyslog服务器的IP地址。

*.*  @192.168.1.25:514 

上面的声明告诉rsyslog守护进程，将系统上各个设备的各种日志消息路由到远程rsyslog服务器（192.168.1.25）的UDP端口514。

如果出于某种原因，你需要更为可靠的协议，如TCP，而rsyslog服务器也被配置为监听TCP连接，你必须在远程主机的IP地址前添加一个额外的@字符，像下面这样：

*.*  @@192.168.1.25:514 

注意，你也可以将rsyslog服务器的IP地址替换成它的主机名（FQDN）。

如果你只想要转发服务器上的指定设备的日志消息，比如说内核设备，那么你可以在rsyslog配置文件中使用以下声明。

kern.* @192.168.1.25:514 

修改配置文件后，你需要重启进程以激活修改：

CentOS 7：

# systemctl restart rsyslog.service 

CentOS 6：

# service rsyslog restart 

非 syslog 日志的转发

在另外一种环境中，让我们假定你已经在机器上安装了一个名为“foobar”的应用程序，它会在/var/log下生成foobar.log日志文件。现在，你想要将它的日志定向到rsyslog服务器，这可以通过像下面这样在rsyslog配置文件中加载imfile模块来实现。

首先，加载imfile模块，这只需做一次。

module(load="imfile" PollingInterval="5") 

然后，指定日志文件的路径以便imfile模块可以检测到：

input(type="imfile"
      File="/var/log/foobar.log"
      Tag="foobar"
      Severity="error"
      Facility="local7")

最后，定向local7设备到远程rsyslog服务器：

local7.* @192.168.1.25:514

别忘了重启rsyslog进程哦！

步骤三： 让Rsyslog进程自动启动

要让rsyslog客户端在每次系统重启后自动启动，请运行以下命令：

CentOS 7：

# systemctl enable rsyslog.service 

CentOS 6：

# chkconfig rsyslog on 

小结

在本教程中，我演示了如何将CentOS系统转变成rsyslog客户端以强制它发送日志消息到远程rsyslog服务器。这里我假定rsyslog客户端和服务器之间的连接是安全的（如，在有防火墙保护的公司网络中）。不管在任何情况下，都不要配置rsyslog客户端将日志消息通过不安全的网络转发，或者，特别是通过互联网转发，因为syslog协议是一个明文协议。要进行安全传输，可以考虑使用TLS/SSL来加密日志消息的传输。

via: http://xmodulo.com/configure-rsyslog-client-centos.html

作者：Caezsar M 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出