网站界面设计描述,网站源代码下载工具,高端大气网站推荐,wordpress移动端插件menuLinux 日志管理 一.Linux 下的日志服务简介
1.1 CentOS5 之前的版本 centos5 之前的版本使用系统和内核日志分离的格式记录日志 syslogd:该服务专门用于记录系统日志(system application logs) klogd: 该服务专门用于记录内核日志(linux kernel logs) centos5 之前事件的记录格… Linux 日志管理 一.Linux 下的日志服务简介
1.1 CentOS5 之前的版本 centos5 之前的版本使用系统和内核日志分离的格式记录日志 syslogd:该服务专门用于记录系统日志(system application logs) klogd: 该服务专门用于记录内核日志(linux kernel logs) centos5 之前事件的记录格式 日期 时间 主机 进程[PID]: 事件内容 C/S 架构: 通过 TCP 或者 UDP 协议的服务完成日志记录和传输 可以将分布在不同主机的日志实现集中管理 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RmUk9NpK-1691887663986)(png/2020-03-15-19-59-44.png)]
1.2 CentOS6 以后的版本
centos6 以后的版本将内核日志和系统日志合并为一个统一使用 rsyslog 服务管理日志。 rsyslog 服务有以下特点 多线程 支持多种协议: DUP,TCP,SSL,TLS,RELP 可以借助多种数据库存储日志: MySQL,PGSQL,Oracle 使用强大的过滤器过滤日志的任何内容 还可以自定义输出格式 ELK–另一种日志收集和处理的架构 ELK由 Elasticsearch, Logstash, Kibana 三个软件组成有以下特点 非关系型分布式数据库 基于 apache 软件基金会 jakarta 项目组的项目 lucene Elasticsearch 是个开源分布式搜索引擎可以处理大规模日志 数据比如Nginx、Tomcat、系统日志等功能 Logstash 对日志进行收集、分析过滤并将其存储供以后使用 Kibana 可以提供的日志分析友好的 Web 界面
ELK 和 LAMP 类似三个开源软件的组合可以让日志管理变得极其便利和直观 前提了解各个软件的特点和用法有机的组合。
二.使用 rsyslog 服务管理系统日志
2.1 rsyslog 管理日志涉及的俗语 facility设施从功能或程序上对日志进行归类 auth authpriv cron daemon ftp kern lpr mail news security(auth) user uucp local0-local7 syslog local0-local7: 可以用户自定义的日志类型 Priority 优先级别下面的优先级别从左到右从低到高排序 debug--info--notice--warn(warning)--err(error)--crit(critical)--alert-- emerg(panic) 参看帮助 man syslogman logger
2.2 rsyslog 相关文件 rsyslog 相关文件 程序包 rsyslog 主程序 /usr/sbin/rsyslogd CentOS 6 /etc/rc.d/init.d/rsyslog {start|stop|restart|status} CentOS 7|8 /usr/lib/systemd/system/rsyslog.service 配置文件 /etc/rsyslog.conf/etc/rsyslog.d/_.conf 库文件 /lib64/rsyslog/_.so 2.3 rsyslog 配置文件
2.3.1 配置文件格式 rsyslog 配置文件格式由三部分组成 MODULES: 相关的模块配置 GLOBAL DIRECTIVES: 全局配置 RULES: 日志记录相关的规则配置 RULES 规则配置格式 facility.priority; facility.prioriry... target facility 日志类型· priority 日志 target 目标表示日志存放的文件路径 facility 格式
* # *号表示所有类型的日志
faciluty1,facility2,... # 多个类型的日志使用逗号分隔priority 格式
*: 所有级别
none 没有级别即不记录
PRIORITY 指定级别含以上的所有级别
PRIORITY仅记录指定级别的日志信息target 格式
文件路径 通常在/var/log/文件路径前的-表示异步写入
用户 将日志事件通知给指定的用户* 表示登录的所有用户
日志服务器host把日志送往至指定的远程UDP日志服务器 host 将日志发送到远程TCP日志服务器
管道 | COMMAND转发给其它命令处理如
*.info;mail.none;authpriv.none;cron.none /var/log/messages上面例子表示记录优先级在info及以上的日志到文件/var/log/messages 日志优先级别 none 为无优先级即表示不记录 mailauthpriv 和 cron 类型的日志
2.3.2 通常的日志格式
由于日志的多样性linux 下记录日志的文件很多记录的基本格式如下 事件产生的日期和时间 主机 进程(PID): 事件内容 常见的日志文件有 /var/log/secure : 系统安装日志文本格式应周期性分析 /var/log/btmp : 当前系统上用户的失败尝试登录相关的日 志信息二进制格式lastb 命令进行查看 /var/log/wtmp : 当前系统上用户正常登录系统的相关日志 信息二进制格式last 命令可以查看 /var/log/lastlog : 每一个用户最近一次的登录信息 二进制格式lastlog 命令可以查看 /var/log/dmesg : CentOS7 之前版本系统引导过程 中的日志信息文本格式开机后的硬件变化将不再记录专用命令 dmesg 查看 可持续记录硬件变化的情况 /var/log/boot.log 系统服务启动的相关信息文本格式 /var/log/messages : 系统中大部分的信息 /var/log/anaconda : anaconda 的日志 范例日志文件格式
[rootcentos8 ~]#tail /var/log/messages
Nov 12 08:34:18 centos8 dnf[14114]: Metadata cache created.
Nov 12 08:34:18 centos8 systemd[1]: Started dnf makecache.
Nov 12 09:35:14 centos8 systemd[1]: Starting dnf makecache...
Nov 12 09:35:14 centos8 dnf[14249]: Metadata cache refreshed recently.
Nov 12 09:35:14 centos8 systemd[1]: Started dnf makecache.
Nov 12 10:21:22 centos8 systemd[1]: Starting man-db-cache-update.service...
Nov 12 10:21:22 centos8 systemd[1]: Reloading.
Nov 12 10:21:22 centos8 systemd[1]: Started man-db-cache-update.service.
[rootcentos8 ~]#tail /var/log/secure
Nov 11 18:27:12 centos8 groupadd[11940]: group added to /etc/group: namedhcpd,GID177
Nov 11 18:27:12 centos8 groupadd[11940]: group added to /etc/gshadow: namedhcpd
Nov 11 18:27:12 centos8 groupadd[11940]: new group: namedhcpd, GID177
Nov 11 18:27:12 centos8 useradd[11948]: new user: namedhcpd, UID177, GID177,home/, shell/sbin/nologin2.3.3 将 ssh 服务的日志记录到自定义的日志文件中
要想将 ssh 服务的日志记录到指定的文件首先需要在 ssh 的服务配置文件中 指明将其日志类型记录为自定义类型(local0-local7 共 8 种自定义类型) 然后编辑 rsyslog 的配置文件指明将自定义的日志类型存放在什么位置。 最后重启 rsyslog 服务即可。大体过程如下:
# 修改sshd服务的配置
Vim /etc/ssh/sshd_config
SyslogFacility local2
Service sshd reload
# 修改rsyslog的配置
Vim /etc/rsyslog.conf
Local2.* /var/log/sshd.log
Systemctl restart rsyslog
# 测试
Ssh登录后查看/var/log/sshd.log有记录
# logger测试
logger -p local2.info Hello sshd, this is a test message!
# 查看日志更新情况
tail /var/log/sshd.log2.4 网络日志服务
centos6 以后rsyslog 就支持网络日志。启用网络日志服务功能可以 将多个远程主机的日志发送到集中的日志服务器方便统一管理。
2.4.1 CentOS 7|6 启用网络日志功能
启动 rsyslog 的网络功能其实就是修改 rsyslog 的配置文件加载支持 tcp 和 udp 通讯的模块默认监听 514 端口
具体操作如下
[rootcentos8 ~]#vim /etc/rsyslog.conf
####MODULES####
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 5142.4.2 CentOS 8 启用网络日志功能
centos8 的配置文件语法有点变化只不过本质是一样的都是加载相应的 支持模块。
[rootcentos8 ~]#vim /etc/rsyslog.conf
#### MODULES ####
...省略...
# Provides UDP syslog reception
# for parameters see http://www.rsyslog.com/doc/imudp.html
module(loadimudp) # needs to be done just once
input(typeimudp port514)
# Provides TCP syslog reception
# for parameters see http://www.rsyslog.com/doc/imtcp.html
module(loadimtcp) # needs to be done just once
input(typeimtcp port514)2.5 日志管理工具–journalct
CentOS 7 以后版利用 Systemd 统一管理所有 Unit 的启动 日志。带来的好处就是可以只用 journalctl 一个命令查看 所有日志(内核日志和应用日志)。 配置文件/etc/systemd/journald.conf 语法journalctl [OPTIONS...] [MATCHES...]
2.5.1 journalctl 选项说明
--no-full, --full, -l如果字段内容超长则以省略号(...)截断以适应列宽。默认显示完整的字段内容(超长的部分换行显示或者被分页工具截断)。老旧的 -l/--full 选项 仅用于撤销已有的 --no-full 选项除此之外没有其他用处。
-a, --all完整显示所有字段内容 即使其中包含不可打印字符或者字段内容超长。
-f, --follow只显示最新的日志项并且不断显示新生成的日志项。 此选项隐含了 -n 选项。
-e, --pager-end在分页工具内立即跳转到日志的尾部。 此选项隐含了 -n1000以确保分页工具不必缓存太多的日志行。 不过这个隐含的行数可以被明确设置的 -n选项覆盖。 注意此选项仅可用于 less(1) 分页器。
-n, --lines限制显示最新的日志行数。 --pager-end 与 --follow 隐含了此选项。此选项的参数若为正整数则表示最大行数 若为 all 则表示不限制行数若不设参数则表示默认值10行。
--no-tail显示所有日志行 也就是用于撤销已有的 --lines 选项(即使与 -f 连用)。
-r, --reverse反转日志行的输出顺序 也就是最先显示最新的日志。
-o, --output控制日志的输出格式。 可以使用如下选项short这是默认值 其输出格式与传统的 syslog[1] 文件的格式相似 每条日志一行。short-iso与 short 类似只是将时间戳字段以 ISO 8601 格式显示。short-precise与 short 类似只是将时间戳字段的秒数精确到微秒级别。short-monotonic与 short 类似只是将时间戳字段的零值从内核启动时开始计算。short-unix与 short 类似只是将时间戳字段显示为从UNIX时间原点(1970-1-1 00:00:00UTC)以来的秒数。 精确到微秒级别。verbose以结构化的格式显示每条日志的所有字段。export将日志序列化为二进制字节流(大部分依然是文本) 以适用于备份与网络传输(详见Journal Export Format[2] 文档)。json将日志项按照JSON数据结构格式化 每条日志一行(详见 Journal JSON Format[3]文档)。json-pretty将日志项按照JSON数据结构格式化 但是每个字段一行 以便于人类阅读。json-sse将日志项按照JSON数据结构格式化每条日志一行但是用大括号包围 以适应Server-Sent Events[4] 的要求。cat仅显示日志的实际内容 而不显示与此日志相关的任何元数据(包括时间戳)。
--utc以世界统一时间(UTC)表示时间
--no-hostname不显示来源于本机的日志消息的主机名字段。 此选项仅对 short系列输出格式(见上文)有效。
-x, --catalog在日志的输出中增加一些解释性的短文本 以帮助进一步说明日志的含义、问题的解决方案、支持论坛、 开发文档、以及其他任何内容。并非所有日志都有这些额外的帮助文本 详见 Message Catalog DeveloperDocumentation[5] 文档。注意如果要将日志输出用于bug报告 请不要使用此选项。
-q, --quiet当以普通用户身份运行时 不显示任何警告信息与提示信息。 例如-- Logs begin at..., -- Reboot --
-m, --merge混合显示包括远程日志在内的所有可见日志。
-b [ID][±offset], --boot[ID][±offset]显示特定于某次启动的日志 这相当于添加了一个 _BOOT_ID 匹配条件。如果参数为空(也就是 ID 与 ±offset 都未指定) 则表示仅显示本次启动的日志。如果省略了 ID 那么当 ±offset 是正数的时候 将从日志头开始正向查找否则(也就是为负数或零)将从日志尾开始反响查找。 举例来说 -b1表示按时间顺序排列最早的那次启动 -b 2则表示在时间上第二早的那次启动 -b-0表示最后一次启动 -b -1表示在时间上第二近的那次启动 以此类推。 如果±offset 也省略了 那么相当于-b -0 除非本次启动不是最后一次启动(例如用--directory 指定了另外一台主机上的日志目录)。如果指定了32字符的 ID 那么表示以此 ID 所代表的那次启动为基准计算偏移量(±offset) 计算方法同上。 换句话说 省略 ID 表示以本次启动为基准计算偏移量(±offset)。
--list-boots列出每次启动的 序号(也就是相对于本次启动的偏移量)、32字符的ID、第一条日志的时间戳、最后一条日志的时间戳。
-k, --dmesg仅显示内核日志。隐含了 -b 选项以及 _TRANSPORTkernel 匹配项。
-t, --identifierSYSLOG_IDENTIFIER仅显示 syslog[1] 识别符为 SYSLOG_IDENTIFIER 的日志项。可以多次使用该选项以指定多个识别符。
-u, --unitUNIT|PATTERN仅显示属于特定单元的日志。 也就是单元名称正好等于 UNIT 或者符合 PATTERN模式的单元。 这相当于添加了一个 _SYSTEMD_UNITUNIT 匹配项(对于 UNIT 来说)或一组匹配项(对于 PATTERN 来说)。可以多次使用此选项以添加多个并列的匹配条件(相当于用OR逻辑连接)。
--user-unit仅显示属于特定用户会话单元的日志。 相当于同时添加了 _SYSTEMD_USER_UNIT 与_UID 两个匹配条件。可以多次使用此选项以添加多个并列的匹配条件(相当于用OR逻辑连接)。
-p, --priority根据日志等级(包括等级范围)过滤输出结果。 日志等级数字与其名称之间的对应关系如下(参见 syslog(3)) emerg (0), alert (1), crit (2), err (3),warning (4), notice (5), info (6), debug (7) 。若设为一个单独的数字或日志等级名称 则表示仅显示小于或等于此等级的日志(也就是重要程度等于或高于此等级的日志)。 若使用 FROM..TO.. 设置一个范围则表示仅显示指定的等级范围内(含两端)的日志。 此选项相当于添加了 PRIORITY匹配条件。
-c, --cursor从指定的游标(cursor)开始显示日志。[提示]每条日志都有一个__CURSOR字段类似于该条日志的指纹。
--after-cursor从指定的游标(cursor)之后开始显示日志。 如果使用了 --show-cursor 选项则也会显示游标本身。
--show-cursor在最后一条日志之后显示游标 类似下面这样以--开头-- cursor: s0639...游标的具体格式是私有的(也就是没有公开的规范) 并且会变化。
-S, --since, -U, --until显示晚于指定时间(--since)的日志、显示早于指定时间(--until)的日志。参数的格式类似 2012-10-30 18:17:16 这样。 如果省略了时:分:秒部分则相当于设为 00:00:00 。 如果仅省略了秒的部分则相当于设为 :00 。如果省略了年-月-日部分 则相当于设为当前日期。 除了年-月-日 时:分:秒格式参数还可以进行如下设置 (1)设为 yesterday, today, tomorrow以表示那一天的零点(00:00:00)。 (2)设为 now 以表示当前时间。(3)可以在年-月-日 时:分:秒前加上 -(前移) 或 (后移)前缀以表示相对于当前时间的偏移。 关于时间与日期的详细规范 参见systemd.time(7)
-F, --field显示所有日志中某个字段的所有可能值。 [译者注]类似于SQL语句SELECT DISTINCT某字段 FROM 全部日志
-N, --fields输出所有日志字段的名称
--system, --user仅显示系统服务与内核的日志(--system)、 仅显示当前用户的日志(--user)。如果两个选项都未指定则显示当前用户的所有可见日志。
-M, --machine显示来自于正在运行的、特定名称的本地容器的日志。 参数必须是一个本地容器的名称。
-D DIR, --directoryDIR仅显示来自于特定目录中的日志 而不是默认的运行时和系统日志目录中的日志。
--fileGLOBGLOB 是一个可以包含?与*的文件路径匹配模式。 表示仅显示来自与指定的 GLOB模式匹配的文件中的日志 而不是默认的运行时和系统日志目录中的日志。可以多次使用此选项以指定多个匹配模式(多个模式之间用OR逻辑连接)。
--rootROOT在对日志进行操作时 将 ROOT 视为系统的根目录。 例如 --update-catalog 将会创建ROOT/var/lib/systemd/catalog/database
--new-id128此选项并不用于显示日志内容 而是用于重新生成一个标识日志分类的 128-bit ID 。此选项的目的在于 帮助开发者生成易于辨别的日志消息 以方便调试。
--header此选项并不用于显示日志内容 而是用于显示日志文件内部的头信息(类似于元数据)
--disk-usage此选项并不用于显示日志内容而是用于显示所有日志文件(归档文件与活动文件)的磁盘占用总量。
--vacuum-size, --vacuum-time, --vacuum-files这些选项并不用于显示日志内容而是用于清理日志归档文件(并不清理活动的日志文件) 以释放磁盘空间。--vacuum-size 可用于限制归档文件的最大磁盘使用量 (可以使用 K, M, G, T后缀) --vacuum-time 可用于清除指定时间之前的归档 (可以使用 s, m, h,days, weeks, months, years 后缀) --vacuum-files可用于限制日志归档文件的最大数量。 注意--vacuum-size 对 --disk-usage的输出仅有间接效果 因为 --disk-usage 输出的是归档日志与活动日志的总量。同样--vacuum-files 也未必一定会减少日志文件的总数因为它同样仅作用于归档文件而不会删除活动的日志文件。此三个选项可以同时使用以同时从三个维度去限制归档文件。若将某选项设为零则表示取消此选项的限制。
--list-catalog [128-bit-ID...]简要列出日志分类信息 其中包括对分类信息的简要描述。如果明确指定了分类ID(128-bit-ID) 那么仅显示指定的分类。
--dump-catalog [128-bit-ID...]详细列出日志分类信息 (格式与 .catalog 文件相同)。如果明确指定了分类ID(128-bit-ID) 那么仅显示指定的分类。
--update-catalog更新日志分类索引二进制文件。每当安装、删除、更新了分类文件都需要执行一次此动作。
--setup-keys此选项并不用于显示日志内容 而是用于生成一个新的FSS(Forward SecureSealing)密钥对。 此密钥对包含一个sealing key与一个verification key。sealing key保存在本地日志目录中 而verification key则必须保存在其他地方。详见 journald.conf(5) 中的 Seal 选项。
--force与 --setup-keys 连用 表示即使已经配置了FSS(Forward Secure Sealing)密钥对也要强制重新生成。
--interval与 --setup-keys 连用指定sealing key的变化间隔。较短的时间间隔会导致占用更多的CPU资源 但是能够减少未检测的日志变化时间。默认值是 15min
--verify检查日志文件的内在一致性。 如果日志文件在生成时开启了FSS特性 并且使用--verify-key 指定了FSS的verification key那么同时还将验证日志文件的真实性。
--verify-key与 --verify 选项连用 指定FSS的verification key
--sync要求日志守护进程将所有未写入磁盘的日志数据刷写到磁盘上并且一直阻塞到刷写操作实际完成之后才返回。 因此该命令可以保证当它返回的时候所有在调用此命令的时间点之前的日志 已经全部安全的刷写到了磁盘中。
--flush要求日志守护进程 将 /run/log/journal 中的日志数据 刷写到 /var/log/journal 中(如果持久存储设备当前可用的话)。 此操作会一直阻塞到操作完成之后才会返回因此可以确保在该命令返回时 数据转移确实已经完成。注意此命令仅执行一个单独的、一次性的转移动作 若没有数据需要转移则此命令什么也不做 并且也会返回一个表示操作已正确完成的返回值。
--rotate要求日志守护进程滚动日志文件。 此命令会一直阻塞到滚动完成之后才会返回。
-h, --help显示简短的帮助信息并退出。
--version显示简短的版本信息并退出。
--no-pager不将程序的输出内容管道(pipe)给分页程序2.5.2 journalctl 示例
# 查看所有日志默认情况下 只保存本次启动的日志journalctl
# 查看内核日志不显示应用日志journalctl -k
# 查看系统本次启动的日志journalctl -bjournalctl -b -0
# 查看上一次启动的日志需更改设置journalctl -b -1
# 查看指定时间的日志journalctl --since2017-10-30 18:10:30journalctl --since 20 min agojournalctl --since yesterdayjournalctl --since 2017-01-10 --until 2017-01-11 03:00journalctl --since 09:00 --until 1 hour ago
# 显示尾部的最新10行日志journalctl -n
# 显示尾部指定行数的日志journalctl -n 20
# 实时滚动显示最新日志journalctl -f
# 查看指定服务的日志journalctl /usr/lib/systemd/systemd
# 查看指定进程的日志journalctl _PID1
# 查看某个路径的脚本的日志journalctl /usr/bin/bash
# 查看指定用户的日志journalctl _UID33 --since today
# 查看某个 Unit 的日志journalctl -u nginx.servicejournalctl -u nginx.service --since today
# 实时滚动显示某个 Unit 的最新日志journalctl -u nginx.service -f
# 合并显示多个 Unit 的日志journalctl -u nginx.service -u php-fpm.service --since today
# 查看指定优先级及其以上级别的日志共有8级0: emerg1: alert2: crit3: err4: warning5: notice6: info7: debugjournalctl -p err -b
# 日志默认分页输出--no-pager 改为正常的标准输出journalctl --no-pager
# 日志管理journalctl
# 以 JSON 格式单行输出journalctl -b -u nginx.service -o json
# 以 JSON 格式多行输出可读性更好journalctl -b -u nginx.serviceqq -o json-pretty
# 显示日志占据的硬盘空间journalctl --disk-usage
# 指定日志文件占据的最大空间journalctl --vacuum-size1G
# 指定日志文件保存多久journalctl --vacuum-time1years三.实现使用 mysql 集中存储日志数据 实验环境 centos7.7(172.20.1.193) — rsyslog 日志服务器 centos8(172.20.1.191)— mysql 数据服务器 centos7.7(172.20.1.193) — 日志服务器
[rootlocalhost ~]# yum install rsyslog-mysql
[rootlocalhost ~]# rpm -ql rsyslog-mysql
/usr/lib64/rsyslog/ommysql.so
/usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql
[rootlocalhost ~]# scp /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql 172.20.1.191:/data/
[rootlocalhost ~]# vim /etc/rsyslog.conf
#### MODULES ####
...
##########custom##########
$ModLoad ommysql
...
#### RULES ####...
#########custom rules##########
*.info :ommysql:172.20.1.191,Syslog,rsyslog,stevenux[rootlocalhost ~]# systemctl restart rsyslog.service
centos8(172.20.1.191)— mysql 服务器
[rootlocalhost ~]# cat /data/mysql-createDB.sql
CREATE DATABASE Syslog;
USE Syslog;
CREATE TABLE SystemEvents
(ID int unsigned not null auto_increment primary key,CustomerID bigint,ReceivedAt datetime NULL,DeviceReportedTime datetime NULL,Facility smallint NULL,Priority smallint NULL,FromHost varchar(60) NULL,Message text,NTSeverity int NULL,Importance int NULL,EventSource varchar(60),EventUser varchar(60) NULL,EventCategory int NULL,EventID int NULL,EventBinaryData text NULL,MaxAvailable int NULL,CurrUsage int NULL,MinUsage int NULL,MaxUsage int NULL,InfoUnitID int NULL ,SysLogTag varchar(60),EventLogType varchar(60),GenericFileName VarChar(60),SystemID int NULL
);
CREATE TABLE SystemEventsProperties
(ID int unsigned not null auto_increment primary key,SystemEventID int NULL ,ParamName varchar(255) NULL ,ParamValue text NULL
);MariaDB [Syslog] source /data/mysql-createDB.sql
MariaDB [Syslog] GRANT ALL ON Syslog.* TO rsyslog172.20.1.193 IDENTIFIED BY stevenux;
MariaDB [Syslog] FLUSH privileges;
MariaDB [Syslog] SHOW tables;
------------------------
| Tables_in_Syslog |
------------------------
| SystemEvents |
| SystemEventsProperties |
------------------------centos7.7(172.20.1.193) — 日志服务器
[rootlocalhost ~]# logger hello this is a test messagecentos8(172.20.1.191)--- mysql 服务器
MariaDB [Syslog] select * from SystemEvents\G
*************************** 4. row ***************************ID: 4CustomerID: NULLReceivedAt: 2019-12-16 21:22:49
DeviceReportedTime: 2019-12-16 21:22:49Facility: 1Priority: 5FromHost: localhostMessage: hello this is a test messageNTSeverity: NULLImportance: NULLEventSource: NULLEventUser: NULLEventCategory: NULLEventID: NULLEventBinaryData: NULLMaxAvailable: NULLCurrUsage: NULLMinUsage: NULLMaxUsage: NULLInfoUnitID: 1SysLogTag: root:EventLogType: NULLGenericFileName: NULLSystemID: NULL
4 rows in set (0.00 sec)四.实现使用 mysql 集中存储日志数据loganalyzer 展示数据
loganalyzer 是用 php 语言实现的日志管理系统可将 MySQL 数据库的日志用丰富的 WEB 界面方式进行展示 官网 使用环境 一台日志服务器利用上一个案例实现IP: 172.20.1.193 一台数据库服务器利用上一个案例实现IP: 172.20.1.191 一台当 httpdphp 服务器并安装 loganalyzer 展示 web 图形IP: 172.20.1.207 172.20.1.207 安装 php 和依赖包
yum install httpd php-fpm php-mysqlnd php-gd
# php-gd模块是提供gd图形库的共享模块
systemctl restart httpd php-fpm172.20.1.207 安装 LogAnalyzer
#从http://loganalyzer.adiscon.com/downloads/ 下载loganalyzer-4.1.8.tar.gz
yum install httpd php php-mysqlnd php-gd
tar xvf loganalyzer-4.1.8.tar.gz
mv loganalyzer-4.1.8/src/ /var/www/html/log
touch /var/www/html/log/config.php
chmod 666 /var/www/html/log/config.php访问http://172.20.1.207/log初始化
