Labs 導讀

在現代計算和網絡環境中，日志管理變得至關重要，尤其是在企業日志管理、應用故障排除以及安全事件監控中。無論是在企業內部的服務器集群中，還是在公有云中的分布式應用系統中，分析日志數據對于監控、故障排除、性能優化和安全性都至關重要。

Part 01、 rsyslog介紹 

1.1 rsyslog日志服務簡介

rsyslog (rocket-fast system for log)是基于syslog協議完成系統日志的處理轉發，它是一個極速的日志處理系統，性能可以達到每秒百萬級別。它提供高性能、極好的安全功能和模塊化設計。

特性:

①高性能：rsyslog采用了高效的線程模型和異步處理機制，能夠快速而穩定地處理大量的日志數據。

②靈活強大：rsyslog支持多種輸入和輸出模塊，可以與各種設備和系統集成，例如syslog、tcp、udp、tls等。同時，rsyslog還支持多種過濾和處理規則，可以根據需求定制化日志的存儲、轉發和處理方式。

③可擴展性：rsyslog具有良好的可擴展性，可以根據需求進行定制開發和插件擴展，滿足不同場景下的日志管理需求。

④安全性：rsyslog支持加密傳輸和認證機制，保證日志數據的安全性和完整性。

如圖1所示，rsyslog的消息流是從輸入模塊->預處理模塊->主隊列->過濾模塊- >執行隊列->輸出模塊。

1.2 rsyslog基本配置

rsyslog引入了facility（設施）的概念，也就是 rsyslog服務進程所要接收日志的各代理，這些代理負責收集對應的日志信息；常用的日志設施有如下幾種：

auth , authpriv , cron , daemon , kern , lpr , mail , news , syslog , user, ftp , uucp , security, local0 ~ local7 ;另外系統日志還有priority優先級概念，可用的優先級包含 debug (7) , info (6) , notice (5) , warning (4) , err (3) , crit (2) , alert (1) , emerg (0) ，如圖2所示：

基于設施/優先級的過濾器是最常用的方法，語法如下：FACILITY.PRIORITY，如圖3所示，為rsyslog的默認規則。

基礎格式，即最簡單的配置格式，沒有任何多余的功能，配置中默認的內容即為此格式。

# 郵件的所有信息存在/var/log/maillog；這里有一個“-”符號表示是使用異步的方式記錄
mail.*                                   -/var/log/maillog
# 郵件的錯誤信息轉發到server.example.com，使用tcp連接（@@）
mail.error                                @@server.example.com

高級格式，支持更多模塊，更多參數，更多選項，并且允許對日志格式，內容等進行自定義修改的格式。

# 郵件的所有信息存在/var/log/maillog；這里有一個“-”符號表示是使用異步的方式記錄
mail.* action(type="omfile" File="/var/log/maillog")
# 郵件的錯誤信息轉發到server.example.com，使用tcp連接（@@）
mail.error  action(type="omfwd" Target="server.example.com" Port="10514" Protocol="tcp")

rsyslog.conf中還包括用于指定日志的輸入、輸出、過濾、格式化等操作，以下是rsyslog.conf配置文件的詳解：

1.2.1 輸入模塊配置

rsyslog.conf文件中的輸入模塊用于指定從哪些源獲取日志信息，包括本地日志、遠程日志、系統日志等。常用的輸入模塊包括：

• imuxsock: 用于從Unix域套接字讀取本地日志信息。
• imudp: 用于從UDP協議接收遠程日志信息。
• imtcp: 用于從TCP協議接收遠程日志信息。
• imiournal: 用于從systemd-iournald服務讀取系統日志信息。

1.2.2 過濾模塊配置

rsyslog.conf文件中的過濾模塊用于根據規則過濾日志信息，只保留符合條件的日志信息。常用的過濾模塊包括：

• if: 用于根據條件過濾日志信息。
• regex: 用于根據正則表達式過濾日志信息。
• property: 用于根據屬性過濾日志信息。

1.2.3 輸出模塊配置

rsyslog.conf文件中的輸出模塊用于指定將日志信息輸出到哪些目標，包括文件、數據庫、網絡等。常用的輸出模塊包括：

• omfile: 用于將日志信息輸出到文件。
• ommysgl: 用于將日志信息輸出到MySQL數據庫。
• omelasticsearch: 用于將日志信息輸出到Elasticsearch搜索引警。
• omfwd: 用于將日志信息轉發到遠程rsyslog服務器。

1.2.4 格式化模塊配置

rsyslg.conf文件中的格式化模塊用于指定日志信息的格式，包括時間、主機名、進程名、日志級別等。常用的格式化模塊包括：

• template: 用于定義日志信息的格式模板。
• property: 用于指定日志信息中的屬性，如時間、主機名、進程名等。
• msg: 用于指定日志信息的內容。

Part 02、  rsyslog轉發 

2.1 客戶端配置

對于客戶端，我們需要在rsyslog的配置文件中進行一些設置。首先，我們需要指定要發送的目標主機和端口號。這可以通過設置*.* @@<目標主機>:<端口號>來實現，如下所示。

*.* @@192.168.75.137:514             # tcp 協議
*.* @192.168.75.137:514               # udp 協議

接著，我們可以設置一些過濾條件，以便只將某些特定類型的日志消息發送到目標系統。這可以通過設置類似于if $msg contains '<關鍵詞>' then @@<目標主機>:<端口號>的語句來實現。最后，我們還可以設置一些其他的參數，如發送協議、超時時間等等。

2.2 服務端配置

對于服務端，我們需要配置rsyslog服務器來接收和處理轉發過來的日志消息。首先，我們需要設置rsyslog服務器監聽的端口號，接著，我們需要在配置文件中指定處理轉發過來的日志消息的方式，如將其志消息保存到本地文件中、存儲到數據庫中、發送到其他系統等等。這可以通過在配置文件中設置類似于*.* /var/log/file的語句來實現。

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
$AllowedSender tcp, 192.168.34.100/24
$template RemoteLogs,"/var/log/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
*.*  ?RemoteLogs

• 可以通過$AllowedSender控制只允許192.168.34.0網段內的主機以 tcp 協議來傳輸。
• $template Remote定義了模板，保存的路徑和文件名均可自定義，同時也區分了不同主機的日志。
• $InputTCPServerRun 514開啟tcp，tcp和udp可以共存的。

Part 03、  rsyslog加密  

除了轉發日志消息，rsyslog還提供了加密傳輸日志消息的功能。當我們需要在公共網絡上傳輸敏感信息時，如個人身份信息、密碼等等，加密傳輸就變得尤為重要。rsyslog提供了基于TLS/SSL協議的加密傳輸功能，可以保證日志消息在傳輸過程中的機密性和完整性。如圖4所示，非加密方式與加密方式客戶端服務端的對比：

下面我來介紹下如何加密：

步驟1：安裝gnutls-utils

yum install gnutls-utils

步驟2：生成證書和密鑰

certtool --generate-privkey --outfile ca-key.pem --bits 2048
certtool --generate-self-signed --load-privkey ca-key.pem --outfile ca.pem --template ca.cfg

步驟3：生成&分發各機器需要的證書

certtool --generate-privkey --outfile key.pem --sec-param 2048
certtool --generate-request --load-privkey key.pem --outfile request.pem
certtool --generate-certificate --load-request request.pem --outfile cert.pem --load-ca-certificate ca.pem --load-ca-privkey ca-key.pem

步驟4：配置rsyslog

$ DefaultNetstreamDriver gtls
＃證書文件 
$DefaultNetstreamDriverCAFile="/etc/rsyslog.d/gnutls/ca.pem"
$DefaultNetstreamDriverCertFile="/etc/rsyslog.d/gnutls/server-cert.pem"
$DefaultNetstreamDriverKeyFile="/etc/rsyslog.d/gnutls/server-key.pem"

步驟5：重啟rsyslog服務

service rsyslog restart

Part 04、  應用場景 

應用場景1：對多臺服務器日志進行匯聚，通過Kafka+ELK(Elasticsearch、Logstash和Kibana)的形式對日志進行過濾、存儲、分析、提供復雜的搜索和可視化功能，如圖1所示：

應用場景2：對多臺服務器日志進行匯聚存儲后，經過LogCheck對日志文件的監控和審查，檢查和過濾系統日志文件中的特定事件或錯誤，通過mail或其他形式進行反饋；同時經過LogAnalyzer對體制進行分析和可視化各種日志數據。并提供實時搜索、過濾、報表和圖表等功能，展示給用戶。如圖2所示：

Part 05、  總結 

rsyslog是一種功能強大的日志管理工具，具有可靠性、靈活性和可擴展性。無論是企業日志管理、應用故障排除還是安全事件監控，rsyslog都能提供強大的日志收集、過濾、處理和存儲功能。通過使用 rsyslog，可以更高效地管理日志數據，提高系統可用性、性能和安全性。