Rsyslog – это быстродействующая система для обработки журналов.
Он предлагает высокую производительность, отличную безопасность и модульную конструкцию.
Он быстро развился и стал рассматриваться как швейцарский армейский нож в области логгирования.
Он имеет сильную корпоративную направленность, а также масштабируется до небольших систем.
Он поддерживает MySQL, PostgreSQL, назначения журнала отказоустойчивости, транспорт syslog / tcp, высокоточные метки времени, операции в очереди и возможность фильтрации частей любого сообщения.
Ниже приведен образец /var/log/messages в моей системе CentOS 7.
# tailf /var/log/messages Nov 21 11:03:22 NVMBD1S12BKPMED06 su: (to oracle) root on none Nov 21 11:03:22 NVMBD1S12BKPMED06 su: (to oracle) root on none Nov 21 11:03:22 NVMBD1S12BKPMED06 su: (to oracle) root on none Nov 21 11:03:23 NVMBD1S12BKPMED06 su: (to oracle) root on none ...
Мы можем изменить этот формат в соответствии с нашим требованием, используя файл конфигурации rsyslog /etc/rsyslog.conf.
Выполните шаги, описанные ниже, чтобы настроить формат журналов с помощью rsyslog.
Настройка формата логов с помощью rsyslog
1. Добавление шаблона rsyslog
Добавьте свой шаблон в произвольные строки /etc/rsyslog.conf, как показано в следующем синтаксисе:
# vi /etc/rsyslog.conf $template [template name], [template pattern]
Для примера:
# vi /etc/rsyslog.conf $template myFormat, "%timegenerated% %hostname% %syslogfacility-text%:%syslogpriority-text% %syslogtag%%msg:::drop-last-lf%\n"
Вот,
«% Xxx%» – это термин, называемый заменителем свойств.
Заменители свойств, используемые вышеуказанным шаблоном, имеют следующие значения:
- % timegenerated%: временная метка, когда сообщение получено
- % hostname%: имя хоста, которое отправило сообщение
- % syslogfacility-text%: средство syslog
- % syslogpriority-text%: приоритет syslog
- % syslogtag%: тег
- % msg%: сообщение отправлено в syslog
Дополнительные сведения о заменителе свойств см. по адресу http://www.rsyslog.com/doc/v8-stable/configuration/property_replacer.html.
2. Привяжите настраиваемый шаблон к журналам
– При привязке ко всем журналам по умолчанию:
# vi /etc/rsyslog.conf $ActionFileDefaultTemplate [your template name]
Например:
# vi /etc/rsyslog.conf #### GLOBAL DIRECTIVES #### : snip : $ActionFileDefaultTemplate myFormat
– Если привязать его только к определенному шаблону журнала:
# vi /etc/rsyslog.conf [filter pattern] [action];[your temlapte name]
Например
# vi /etc/rsyslog.conf *.info;mail.none;authpriv.none;cron.none /var/log/messages;myFormat
3. Перезапустите службу rsyslog.
Перезагрузите сервер rsyslog после завершения всех изменений в файле /etc/rsyslog.conf.
# service rsyslog restart ### В CentOS/RHEL 6 # systemctl restart rsyslog ### В CentOS/RHEL 7
