syslog.
作为计算机消息记录的事实标准,Syslog已经多年了。从根本上,每个Linux和UNIX变体都将某些级别的Syslog消息记录作为默认值提供。
与任何其他日志记录功能一样,必须启用Syslog,并且用户需要决定与正在记录的数据执行该操作。目的地的选择可以像日志文件一样简单,也可以使用数据库日志记录,其中Syslog将直接写入完全关系数据库引擎。
syslog协议
syslog是一个IETF标准跟踪协议参考文档RFC 5424于2009年首次发布。与任何IETF标准一样,可以在此处找到当前状态和定义官方互联网协议标准网站。本标准中发现的信息已经过量原始BSD UNIX标准,RFC 3164,这是一个信息文件,而不是标准提案。额外的IETF标准文件介绍Syslog(RFC 5425)的TLS传输映射以及UDP上的Syslog消息的传输(RFC 5426)。
syslog-ng.
syslog-ng是当前开发的基本Syslog协议的扩展俾拓安全。此开源代码支持最多的Linux和UNIX的发行版,包括开源和专有。有些分布将其安装为默认的syslog,甚至还有一个用于Microsoft Windows的Cygwin端口。Syslog-NG是第一个支持将记录到数据库中的第一个版本,日志到多个文件目标,将日志消息指向本地应用程序,从非结构化消息中提取结构化数据以及现在考虑Syslog环境的标准的一些其他功能。可以在Balabit IT安全网站上获取Syslog的两个开源和专有版本。
rsyslog.
rsyslog是用于日志处理的火箭快速系统,一个开源项目于2004年开始,目的是建立更快,更灵活的Syslog实现。版本7(目前版本7.6.3)于2013年12月发布,并于2014年4月重新设计8.2.0版。开源社区目前支持这两个版本,可以在rsyslog主页上找到www.rsyslog.com.。
由于Syslog工具的大部分发展涉及信息RFC 3164,因此有许多分支具有不相容的扩展。rsyslog的目标之一是启用一个可以使用尽可能多的分支的服务,并支持前面讨论的后续RFC标准。rsyslog的性能索赔也大大于其他现有的标准化实现以及数据的支持来源和目的地。支持直接数据库登录到开源和商业数据库以及Linux,UNIX和Microsoft Windows设备的源消息传递。从rsyslog home,此图形为您提供了一些日志记录功能的想法。
为收集器配置rsyslog
某些系统要求您将Rsyslog直接配置为向Insightops收集器发送日志。为此,请填写以下步骤:
- 作为超级用户,编辑文件
/etc/rsyslog.conf.
- 将以下行添加到文件的末尾:
文本
1#发送到Insightops收集器的日志2*。* @@ 10.20.30.40:10514
- 在终端窗口中,使用以下命令重新启动rsyslog:
文本
1> sudo service rsyslog重新启动
- 在上面的示例中,Syslog被配置为在IP 10.20.30.40运行的机器上向TCP端口10514发送日志。更改示例中的行以匹配收集器的事件源在环境中运行的位置和端口。
笔记:在rsyslog中,使用单个“@”描述了UDP端口,以便在192.168.1.100运行的机器上发送到UDP端口1234,您将写入:
文本
1*。* @ 192.168.1.100:1234