syslog-ng详解——运行syslog-ng

编程
目录
  1. 安装目录结构介绍
  2. 配置syslog-ng
  3. 运行syslog-ng

安装完syslog-ng后,就是如何使用的问题了。在https://syslog-ng.org 上可以下载syslog-ng的说明文档syslog-ng-ose-guide-admin.pdf,文档中介绍了syslog-ng的用法,很详细。下面介绍下如何使用syslog-ng。

安装目录结构介绍

在syslog-ng安装目录下,文件夹及作用如下:

  • bin 存放一些用于测试syslog-ng的工具,如loggen, pdbtool
  • etc 存放syslog-ng的配置文件,⚠主要为syslog-ng.conf
  • include 头文件
  • lib syslog-ng相关库文件,如libsyslog-ng.so已经syslog-ng的各种plugin
  • sbin syslog-ng可执行程序syslog-ng及交互程序syslog-ng-ctl
  • share 帮助文档
  • var存放syslog-ng运行时的一些信息

配置syslog-ng

在使用syslog-ng前,需要先对其进行配置,其对应的配置文件为syslog-ng.conf(位于syslog-ng安装目录etc下面),默认配置如下(为了能更好的描述配置文件,我加了个filter语法):

@version: 3.4
@include "scl.conf"

source s_local {
    system();
    internal();
};

source s_network {
    udp();
};

destination d_local {
    file("/var/log/messages");
};

filter f_level {
    "${LEVEL_NUM}" > "5";
};

log {
    source(s_local);
    # uncomment this line to open port 514 to receive messages
    #source(s_network);
    filter(f_level);
    destination(d_local);
};

上边配置了两个日志源:s_local及s_network, 一个日志目的地:d_local;
然后定义了日志收集语法 log {source(s_xxx); filter(f_xxx); destination(d_xxx);};.
即收集system(指送往/dev/log及/proc/kmsg的日志)及internal(指syslog-ng进程本身的日志),然后日志经过filter,将日志级别小于等于7(debug)级别的日志输出到/var/log/messages目录。

配置完syslog-ng后,便可以运行syslog-ng了。

运行syslog-ng

进入sbin目录,执行./syslog-ng运行syslog-ng.如果用上面的配置文件,会发现运行时报错: 

system(): /proc/kmsg is not readable, please check permissions if this is     unintentional.; error='Permission denied (13)'
Error binding socket; addr='AF_UNIX(/dev/log)', error='Address already in     use (98)'
Error initializing message pipeline;

这是因为我们现在是以非root用户运行的,所以无法读取/proc/kmsg文件;另外/dev/log这个socket,当前rsyslogd进程正在使用,你也无法使用;
所以先将system这个语法用’#’注释掉,换成file(“…/syslog-ng-3.4.2/syslog-ng.in”);
还有d_local中的目的文件可以改成…/syslog-ng-3.4.2/syslog-ng.out,方便我们分析(这边我们也没有操作/var/log/messages的权限)。
其中…为软件的安装上级目录,且配置文件中的路径要使用绝对路径。

修改后的配置文件如下:

@include "scl.conf"

source s_local {
    #system();
    file("/home/user/software/syslog-ng-3.4.2/syslog-ng.in");
    internal();
};

source s_network {
    udp();
};

destination d_local {
    #file("/var/log/messages");
    file("/home/user/software/syslog-ng-3.4.2/syslog-ng.out");
};

filter f_level {
    "${LEVEL_NUM}" <= "7";
};

log {
    source(s_local);
    # uncomment this line to open port 514 to receive messages
    #source(s_network);
    filter(f_level);
    destination(d_local);
};

再次运行syslog-ng,可见在安装目录下生成了syslog-ng.out文件,cat看一下,输出: 

Sep 13 22:17:28 localhost syslog-ng[84496]: syslog-ng starting up;     version='3.4.2'

这说明syslog-ng已经成功运行起来了。用ps命令看下:

$ps -elf|grep syslog-ng 
1 S user        84495      1  0  80   0 -  6150 wait   22:17 ?            00:00:00 supervising syslog-ng
1 S user        84496  84495  0  80   0 -  8832 ep_pol 22:17 ?            00:00:00 ./syslog-ng

其中,主进程为./syslog-ng

这时,我们可以试下往/home/user/software/syslog-ng-3.4.2/syslog-ng.in文件中输入一条信息,syslog-ng将会把此信息一起收集到syslog-ng.out文件中。

$echo "Hello, syslog-ng"  > syslog-ng.in
$cat syslog-ng.out
Sep 13 22:46:49 localhost Hello, syslog-ng

这样,我们就大概清楚了syslog-ng运行的原理:即将某个日志源的信息进行收集,然后对日志进行一些处理(如果过滤,文本替换等),然后输出到指定的目的地(本地或者网络)。

本站总访问量