rsyslog同步history日志

前言


  由于公司业务是由公司内部开人员及外包团队共同开发,所以需要使用rsyslog对history日志做收集、审计。虽然搭建及配置非常简单,但是在日常运维工作中很实用,所以记录下,方便日后快速搭建。如果有错误,望大神指正。

syslog简介


syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序,守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。

而rsyslog作为syslog的代替,功能多,性能好。

rsyslog的新功能:


rsyslog是一个加强版的syslog,具有各种各样的新功能,典型的有:

    1、直接将日志写入到数据库。

    2、日志队列(内存队列和磁盘队列)。

    3、灵活的模板机制,可以得到多种输出格式。

    4、插件式结构,多种多样的输入、输出模块。

    5、可以把日志存放在Mysql ,PostgreSQL,Oracle等数据库中

PS:好吧以上内容其实都是大部分引用了别人的blog对rsyslog介绍,这边我主要讲下如何快速使用rsyslog及收集history日志。

部署环境

系统:Centos 6.4 X86_64

应用:rsyslogd 5.8.10

rsyslog服务端

    IP:10.1.4.180

rsyslog客户端

    IP:10.1.4.181

部署及配置

rsyslog部署

因系统自带rsyslog所以不需要安装,如果系统没带的话且能上网,则直接yum install rsyslog -y安装。

server端rsyslog.conf配置

vim /etc/rsyslog.conf

去掉以下项注释

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
$ModLoad imudp            #开启支持upd的模块
$UDPServerRun 514         #允许接收udp 514的端口传来的日志
ModLoad imtcp             #开启支持tcp的模块
$InputTCPServerRun 514    #允许接收tcp 514的端口传来的日志

在最后添加以下行

local5.* /var/log/history.log  #将local类型5的日志存放到/var/log/history.log下

或在最后添加以下行

$template HistoryiLogFile, "/var/log/history/%HOSTNAME%.log" #以主机名为日志模板,模板名称为HistoryiLogFile
if $syslogfacility-text == 'local5' then -?HistoryiLogFile #接收local类型5的日志

重启rsyslog

service rsyslog restart

client端配置

vim /etc/rsyslog.conf

在最后添加以下行

local5.*  @10.1.4.180 #local类型5的日志通过UDP传输给10.1.4.180

vim /etc/bashrc

在最后添加

用来实时输出history日志

HISTFILESIZE=2000
HISTSIZE=2000
HISTTIMEFORMAT="%Y%m%d-%H%M%S: "
export HISTTIMEFORMAT
export PROMPT_COMMAND='{ command=$(history 1 | { read x y; echo $y; }); logger -p local5.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command"; }'

然后使其生效

source /etc/bashrc

重启rsyslog

service rsyslog restart

在server端tail -f var/log/history.log然后在客户端随便执行一条命令,观察server端是否有history日志生成。


小记:

   由于学习马哥视频的进度较慢,所以暂时先上一篇之前做的东西做为blog开篇,顺便吐槽下blog编辑样式问题,不知道为什么辛辛苦苦编辑的样式最后生成的就是一坨shit,跟我自己编辑的完全不一样,而且保存草稿就会更改样式,试过N遍都不行,rsyslog同步history日志,算了就酱~


参考文档

搭建

    http://showerlee.blog.51cto.com/2047005/1231160

    http://litaotao.blog.51cto.com/6224470/1283871

配置

    http://my.oschina.net/duxuefeng/blog/317570

    http://www.linuxyw.com/a/yunweijingyan/xitongguanli/20130529/492.html

    http://blog.carlos-spitzer.com/2013/03/21/how-to-record-users-activity-in-the-whole-system-and-centralize-logs-with-rsyslog/

原创文章,作者:sxzq46,如若转载,请注明出处:http://www.178linux.com/2525

(1)
sxzq46sxzq46
上一篇 2015-04-03
下一篇 2015-04-03

相关推荐

  • jackcui0804作业

    (1)显示/proc/meminfo 文件中以大小s 开头的行;( 要求:使用两种方式) [root@centos7 ~]# cat /proc/meminfo | grep -e "^s.*" -e "^S.*" SwapCac…

    Linux干货 2016-08-08
  • 超文本传输安全协议—HTTPS

        超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。H…

    Linux干货 2017-08-07
  • 软链接与硬链接的分析

    Linux引用硬链接与软链接,是为了实现文件的共享,更有隐藏文件路径、增加权限安全及节省存储等的好处。很多新手不知道软链接与硬链接的区别,今天大家一起总结它们的区别吧^_^ 一,硬链接 硬链接的特性可以体现出什么是硬链接: 通过索引节点来进行链接,文件要有相同的inode及data block 不允许跨分区创建 只有在同一文件系统中的文件之间才可以,不能交叉…

    2017-07-22
  • Linux中命令的分类,hash缓存表与别名

        命令的分类:     在Linnux中,平常工作用的是字符界面。Linux输入命令后,shell接收命令通过系统调用把命令送入内核中执行。    *shell中的可执行命令分为两类        1.内部命令:为shell自带命令,利用某种形式在开机后…

    Linux干货 2017-07-15
  • 第二天作业

    1、echo 查闪烁,下划,颜色    echo -e "\033[31;5;1m*******\033[0m\n \033[32;5;1m*****\033[0m\n  \033[33;5;1m***\033[0m\n   \033[34;5;1m*\033[0m" 2、scr…

    Linux干货 2016-07-26
  • Linux磁盘和文件系统管理

    磁盘相关概念 设备类型: 块设备(block):存取单位为块,典型设备磁盘 字符设备(char):存取单位为字符,典型设备为键盘 设备文件: 关联至一个设备驱动程序,进而能够跟与之对应硬件设备进行通信。 如果存在两个相同型号设备,使用两个设备文件,但可能还会关联到同一个驱动程序 设备文件只有元数据即属性,没有数据内容,属于特殊文件类型 设备号码: 主设备号:…

    Linux干货 2016-06-09

评论列表(1条)

  • stanley
    stanley 2015-04-03 15:04

    看的出有写作功底,技巧上掌握尚欠火候,可以多学习平台其它优秀博文