废话不多说,直接进入主题。
总体架构是
客户端统一用rsyslog日志收集,--->fluentd服务器上--->mongondb集群--->Elasticsearch+Kibana服务器上展示。(因为线上的生产环境是用的kvm,如果直接安装fluentd,分配的虚拟机配置很低,会导致虚拟机报警)
rsyslog安装和配置
1、更改history格式
在/etc/profile.d目录下创建history.sh脚本,内容如下
HISTTIMEFORMAT='%F %T '
HISTFILESIZE=10000
HISTSIZE=1000
HISTIGNORE='ls -l:pwd:date'
HISTCONTROL=ignoredups
export HISTTIMEFORMAT HISTFILESIZE HISTSIZE HISTIGNORE HISTCONTROL
2、设置rsyslog信息的格式,(更改显示的日期)和一些传送配置
修改/etc/rsyslog.conf的配置
注销一下两行
# Use default timestamp format
#$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
添加一下六行
$template xsformat,"%$NOW% %TIMESTAMP:8:15% %FROMHOST% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate xsformat
$ModLoad imtcp
$UDPServerRun 514
*.info;mail.none;authpriv.none;cron.none;local4.none @@192.168.2.2 #修改第一条,加入了local4.none ,这样就取消了local4接收到消息会传送到
local4.* @@192.168.2.1
修改/etc/bashrc 中的环境变量,就当所以用户登录系统时,都会继承这个环境设置
在最后添加一下如下信息
export PROMPT_COMMAND='{ msg=$(history 1 | { read a b c d; echo $d; }); ip=$(who am i | { read q w e r t;echo $t; });logger -p local7.info "[euid=$(whoami):$ip]":[`pwd`]# "$msg"; }'
[root@b28-18-203 ~]# source /etc/profile
[root@b28-18-203 ~]# source /etc/bashrc
[root@b28-18-203 ~]# /etc/init.d/rsyslog restart
收集secure日志的服务器
[root@b28-18-203 ~]# vim /etc/rsyslog.conf #在配置文件中添加如下信息
$ModLoad imtcp
$InputTCPServerRun 514
if $fromhost-ip startswith '192.168.2.' then /var/log/allsecure.log
& ~
收集messages的日志服务器
[root@b28-18-203 ~]# vim /etc/rsyslog.conf #在配置文件中添加如下信息
$ModLoad imtcp
$InputTCPServerRun 514
if $fromhost-ip startswith '192.168.2.'' then /var/log/allmessageslog.log
运维网声明
1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网 享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com