ELK stack实战之结合rsyslog分析系统日志(auth.log)

共计 4110 个字符，预计需要花费 11 分钟才能阅读完成。

写在前边的话

---

在之前的文章中我么谈到了 ELK stack 的部署和简单的小 demo，然后我们又看了 elk stack 结合 filebeat 做了一个分析，具体可参考下面的链接：

Linux 部署 ELK 日志分析系统与简单测试 http://www.linuxidc.com/Linux/2016-10/135849.htm
ELK stack 实战之 Filebeat 的架构分析、配置解释与示例 http://www.linuxidc.com/Linux/2016-10/135850.htm

本篇文章我们主要谈一下 Linux 操作系统的 rsyslog（syslog），然后结合 elk stack 做一个分析 autho.log(linux 自己生成的日志) 的 demo

syslog 与 rsyslog

---

syslog

    首先需要说明的是 syslog 是一种协议，广泛用于系统日志，syslog 系统日志消息可以记录在本地，也可以发送到接受 syslog 日志的服务器统一进行存储和处理，也可以解析其中的内容做相应的处理。

    常见的应用场景是网络管理工具、安全管理系统、日志审计系统。
    对于老版本的 unix 操作系统，默认使用 syslog，但是在新版本都已经被 rsyslog 所替代
    老版本的 Linux 缺省使用 Syslog，其配置大致如下所示：

shell> cat /etc/syslog.conf
 
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
# kern.* /dev/console
 
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
 
# The authpriv file has restricted access.
authpriv.* /var/log/secure
 
# Log all the mail messages in one place.
mail.* -/var/log/maillog
 
# Log cron stuff
cron.* /var/log/cron
 
# Everybody gets emergency messages
*.emerg *
 
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
 
# Save boot messages also to boot.log
local7.* /var/log/boot.log

    完整的 syslog 日志中包含产生日志的程序模块（Facility）、严重性（Severity 或 Level）、时间、主机名或 IP、进程名、进程 ID 和正文。在 Unix 类操作系统上，能够按 Facility 和 Severity 的组合来决定什么样的日志消息是否需要记录，记录到什么地方，是否需要发送到一个接收 syslog 的服务器等。由于 syslog 简单而灵活的特性，syslog 不再仅限于 Unix 类主机的日志记录，任何需要记录和发送日志的场景，都可能会使用 syslog。

    这里涉及两个概念：Facility 和 Severity，中文的意思大致是类型和级别。重点说明两条配置的含义：首先，所有 Severity 大于等于 info 的信息都会被保存到「/var/log/messages」中，但是 Facility 为 mail、authpriv、cron 的消息例外；其次，所有 Facility 为 mail 的消息都会保存到「/var/log/maillog」中，日志文件前面的减号表示的意思是异步写文件。

rsyslog

上边也说了，对于现在的很多发行版都默认采用了 rsyslog，rsyslog 是 syslog 的升级版，这里我们看些 Facility 和 Serverity
rsyslog 通过 Facility 概念来定义日志消息的来源，以方便对日志进行分类，facility 有以下几种

        kern                     内核消息
        user                     用户级消息
        mail                     邮件系统消息
        datemon                  系统服务消息
        auth                     认证系统消息
        syslog                   日志系统本身消息
        lpr                      打印系统消息
        authpriv                 权限系统消息
        corn                     定时任务消息
        news                     新闻系统消息
        uucp                     uucp 系统消息
        ftp                      ftp 系统消息 

除了日志来源以外，对于同一来源产生的日志消息，还进行了优先级的划分，优先级分为以下几种

        Emergency                系统已经不能使用
        Alert                    必须立即进行处理
        Critical                 严重错误
        Error                    错误
        Warning                  警告
        Notice                   正常信息，但是较为重要
        Informational            正常信息
        Debug                    debug 信息 

案例：rsyslog+ELK 分析 auth.log

---

启动 / 停止 / 查看 rsyslog 的状态

在配置 rsyslog 的机器上执行即可

sudo service rsyslog start
sudo service rsyslog stop
Sudo service rsyslog status

使用系统的 logger 命令测试 rsyslog 是否工作

在配置 rsyslog 的机器上执行即可

Logger hello world

查看 /var/log/message

[master@localhost log]$ sudo tail -n 1 messages
Sep 29 23:37:00 localhost master: hello word

测试 rsyslog 的性能

使用官方提供的 tcpflood
https://github.com/rsyslog/rsyslog/blob/master/tests/tcpflood.c

rsyslog+elk 做日志收集

1、服务器两台

192.168.197.129    配置 elk            OS：RedHat
192.168.197.131    rsyslog 客户端  OS：CentOS7

2、ELK 客户端配置
即 129 这个服务器
rsyslog.conf

input {
  tcp{port => 5514
    type => syslog
  }
  udp{port => 5514
    type => syslog
  }
}
output {
  stdout {codec=> rubydebug}
  elasticsearch {hosts => ["192.168.197.129:9200"]
  }
}

启动 ELK 服务

rsyslog 客户端配置

即 131 这个服务器

sudo vim /etc/rsyslog.conf

找到下边的一段，去掉注释：

# provides UDP syslog reception
# module(load="imudp")
# input(type="imudp" port="5514")
 
# provides TCP syslog reception
# module(load="imtcp")
# input(type="imtcp" port="5514")

如下：

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="5514")
 
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="5514")

最后添加一行（elk 所在机器的 ip 和监听的端口）

*.*  @192.168.197.129:5514

重启 rsyslog 服务

sudo service rsyslog restart

测试

在 rsyslog 所在客户端执行

logger -p info“hello, remote rsyslog”

部署 ELK 的服务器终端查看 Elasticsearch 的输出

kibana 的 web 展示界面可以看到

当然我们也可以执行一些其他的命令

ssh localhost

输入正确的密码，在终端可以监测到：

ssh localhost 输入错误的密码：

根据这种情况我们就可以针对登录日志做出相应的分析

这里的 logstash 中的 rsyslog.conf 文件也可以这样写

input {
   syslog{port => 5514
    type => syslog
  }
}
output {
  stdout {codec=> rubydebug}
  elasticsearch {hosts => ["192.168.197.129:9200"]
  }
}

这个时候在 rsyslog 的服务器中执行

logger -p info“hello, remote rsyslog”

---

END

————————————– 分割线 ————————————–

CentOS 上配置 rsyslog 客户端用以远程记录日志  http://www.linuxidc.com/Linux/2015-02/112989.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

使用 rsyslog mysql 和 logAnalyzer 的日志服务器 http://www.linuxidc.com/Linux/2012-09/70717.htm

Rsyslog 配置及使用教程  http://www.linuxidc.com/Linux/2015-02/113614.htm

RHEL5.4 部署中央日志服务器之 rsyslog+loganalyzer  http://www.linuxidc.com/Linux/2010-12/30801.htm

————————————– 分割线 ————————————–

Rsyslog 的详细介绍 ：请点这里
Rsyslog 的下载地址 ：请点这里

本文永久更新链接地址 ：http://www.linuxidc.com/Linux/2016-10/135851.htm