Rsyslog日志收集服务并结合Loganalyzer工具展示(2)

mail.info /var/log/maillog
      表示将mail产生的info日志级别以上的信息都记录在/var/log/maillog文件中
mail.=info  表示仅记录info级别日志
mail.!info  表示记录info以下级别的日志
*.info    表示所有设施的info级别
mail,news.info  表示mail和news都使用info级别

有些日志记录二进制格式：/var/log/wtmp，/var/log/btmp
/var/log/wtmp: 当前系统上成功登录的日志； last
/var/log/btmp：当前系统上失败的登录尝试； lastb
lastlog命令：显示当前系统每一个用户最近一次的登录时间；

3、配置文件/etc/rsyslog.conf详解
#### MODULES 日志的模块####
$ModLoad imuxsock  #imuxsock是模块名，支持本地系统日志的模块
$ModLoad imklog    #imklog是模块名， 支持内核日志的模块
#$ModLoad immark    #immark是模块名，支持日志标记
#$ModLoad imudp    #imupd是模块名，支持udp协议
#$UDPServerRun 514  #允许514端口接收使用UDP和TCP协议转发过来的日志
#$ModLoad imtcp    #imtcp是模块名，支持tcp协议
#$InputTCPServerRun 514
#### GLOBAL DIRECTIVES ####定义全局日志格式的指令
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat #定义日志格式默认模板
$IncludeConfig /etc/rsyslog.d/*.conf  #载入rsyslog.d文件中所有以conf结尾的文件
#### RULES ####
*.info;mail.none;authpriv.none;cron.none    /var/log/messages
#####记录所有日志类型的info级别以及大于info级别的信息到/var/log/messages，但是mail邮件信息，authpriv验证方面的信息和cron时间#任务相关的信息除外
authpriv.*            /var/log/secure
#####authpriv验证相关的所有信息存放在/var/log/secure
mail.*                -/var/log/maillog
#####邮件的所有信息存放在/var/log/maillog; 这里有一个-符号, 表示是使用异步的方式记录, 因为日志一般会比较大
cron.*                /var/log/cron
####计划任务有关的信息存放在/var/log/cron
*.emerg                * (*表示所有用户）
###记录所有的大于等于emerg级别信息, 以wall方式发送给每个登录到系统的人
uucp,news.crit        /var/log/spooler
####记录uucp,news.crit等存放在/var/log/spooler
local7.*              /var/log/boot.log
####本地服务器的启动的所有日志存放在/var/log/boot.log中

三、配置使用基于mysql存储日志信息,并结合前端loganalyzer工具分析日志
1、配置rsyslog日志存储于mysql中
(1) 准备好MySQL服务器，创建用户，授权对Syslog数据库的全部访问权限；
mysql> grant all on Syslog.* to 'syslog'@'192.168.137.%' identified by '123456';

(2) rsyslog服务起上安装rsyslog-mysql程序包；
yum install -y rsyslog-mysql

(3) 创建rsyslog-mysql依赖的数据库；
rpm -ql rsyslog-mysql

/lib64/rsyslog/ommysql.so
/usr/share/doc/rsyslog-mysql-5.8.10
/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql    ##建库脚本位置

# yum install mysql -y  ##rsyslog服务器安装mysql客户端
# mysql -usyslog  -p123456  -h192.168.137.130  --default-character-set=utf8 < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

mysql> use Syslog
Database changed
mysql> show tables;
+------------------------+
| Tables_in_Syslog      |
+------------------------+
| SystemEvents          |
| SystemEventsProperties |

(4) 配置rsyslog使用ommysql模块
vim /etc/rsyslog.conf
#### MODULES ####
$ModLoad ommysql
#### RULES ####
*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.137.130,Syslog,syslog,123456
重启rsyslog服务:    service rsyslog restart

(5)测试日志记录
rsyslog服务器：yum remove lrzsz
mysql> select * from SystemEvents\G