一、Rsyslog整体架构

Rsyslog消息流:输入模块——>预处理模块——>主队列——>过滤模块——>执行队列——>输出模块

1. 输入模块

  输入模块是消息来源

2. 预处理模块

  主要解决各种syslog协议实现间的差异

3. 队列模块

  负责消息的存储,从Input传入的未经过滤的消息放在主队列,过滤后的消息放入到不同的action queue中,再由执行队列送到各个输出模块

4. 过滤模块

  Filter模块处理消息的分析和过滤,rsyslog可以对消息的任何部分进行过滤

5. 输出模块

  消息的目的地

6. rsyslog命令的参数

7. 其他概念

基本结构:数据流动过程中内置的基本处理框架,但是对于消息流,是可以高度定制化的。定制工作是通过自定义rsyslog对象来完成的。

消息流和对象概览:消息通过input模块进入rsyslog,接着到ruleset,进行规则匹配,也就是做一些处理,比如写到文件,数据库或者继续转发到远程主机。

处理原则:每个ruleset会包含>=0个规则,一条规则包含一个过滤器和一个动作列表,一个动作列表会包含一个或多个动作

过滤器:控制流量,动作列表不会再出现过滤器

处理顺序:rsyslog.conf中得命令是从上到下一次执行的,所以,如果你停止了对某消息的处理,那么这行之后的命令就不会再被检查和执行了

流程控制语句

if expr then ... else ...- 条件语句

stop - 停止处理当前消息

call - 调用一个rulese(类似子程序调用)

continue - 一个空操作(NOP),很有用。比如在if语句的then部分

流控制也可以通过过滤器条件来实现

数据操作语言

set - 设置一个用户变量

unset - 删除之前设置的用户变量

二、Rsyslog的作用

  • 接收来自多种源的输入
  • 传输接收的内容
  • 输出到不同类型的目的端

三、Rsyslog的特征

  • 多线程
  • TCP/SSL/TLS/RELP
  • MySQL/PostgreSQL/Oracle等
  • 对syslog日志的任何部分进行筛选和过滤
  • 完全可控的输出格式
  • 适合企业级的日志系统

四、 rsyslog配置相关概念

1. 属性替代

  Rsyslog 预定义了一些属性,来代表消息中的信息,我们可以在定义输出格式、动态文件名的时候使用到这些属性。这里面比较重要的属性比如:msg(消息体)、hostname、pri(消息等级和类别)、time(时间有关),属性的名称中以$开头的是从本地系统获得的变量、不带$是从消息中获得变量。

  属性替代的语法格式:

%propname:fromChar:toChar:options:fieldname%

  属性替换的功能很强大,你可以使用起始字符获取自己所需的字段,也可以使用正则表达式,也可以使用分隔符。举几个例子:为了兼容一个rfc协议,rsyslog规定如果用户输入的msg不是以空格开头,rsyslog会自动补充一个空格,因此如果你希望输出的时候去掉这个空格,就可以使用,举例:

%msg::$%    #选取msg变量中,起始位置为2,终止位置为结尾

  我们经常需要根据空格来分析字符串,F表示使用字符分割,32是空格的ascii码,例:

%msg:F,:%  #按照空格分隔,取第三个子串

  正则匹配可以匹配特定的文字和格式,属性替代中还用到了一类特殊的以$!开头的变量,这是使用mmnormalize模块时特有的,可以实现类似于syslog-ng中parser模块的功能。

2. 模板(详细使用见Rsyslog模板文章)

功能

(1)定义输出的格式

(2)定义omfile模块的动态路径、动态文件。需要用到属性替换

形式

(1)一般简单格式,可以使用string的形式

(2)复杂的格式,可使用list形式

(3)子树(subtree)

(4)插件(plugin)

3. Ruleset(规则集)

(1)实现多实例功能

(2)针对syslog的来源使用不同的过滤规则

(3)需要在配置文件中先定义ruleset,才可以使用

举例:针对不同端口使用不同的过滤规则

#定义规则:以local3开头的所有日志发送到10.0.0.44的1999端口,以local4开头的日志发送到10.0.0.44的2000端口

$Ruleset    tcp1999

$RulesetCreateMainQueue on

Local3.*    @@10.0.0.44:

#定义规则2 类似于上

$Ruleset    tcp2000

$RulesetCreateMainQueue on

Local4.*    @@10.0.0.44:

4. Filter模块

  rsyslog可使用rsyslog标准的过滤规则,同时自己添加了一些扩展。比如在输出中指定rsyslog自己的处理方式,可以指定输出模板(template)

  使用方法:在规则(ruleset)后面添加模板的名字,用分号隔开

  举例:

#第一种方式:将local3.*的日志保存到所指目录中,输出处理使用t_msg模块

Local3.*    -/data0/logs/local3.log;t_msg

#?问号表示使用模板定义的动态路径

Local4.*    -?f_local3_test;t_msg

#第二种方式

#除了syslog标准的规则,rsyslog的作者还自己开发了一个叫做rainerscript的脚本语言,来定义更复杂的过滤规则,rainerscript可以对

#属性进行startwith、contains、%(取余)等过滤规则

if $pri-txt == local3.* and $msg contains "abc" then {

    *.* -/data0/logs/local3.log;t_msg

}

#这个例子表示如果pri是local3,且在消息中包含子串‘abc’



#第三种方式:使用属性的表示方式

:msg, regex, "^ [g-z]"  /root/rsyslog_worker_dir/.log   #以字母g到z开头的消息,注意msg开头有空格

5. 队列

队列的种类:主队列和工作队列。从输入模块进入主队列;主队列的消息,经过过滤模块,进入到相应的工作队列队列的四种工作模式。

队列的四种工作模式

此外,内存队列还可以通过指定一个queuename来添加DA模式,DA模式主要是为了防止意外情况(进程关闭,server端宕机)下,内存队列可以不丢失。

关于队列的配置:

因为 MainMsgQueue 和 ActionQueue 的配置基本一样(除了有些默认值可能不同), 所以这里以MainMsgQueue 为例:

$MainMsgQueueType [FixedArray/LinkedList/Direct/Disk]

$MainMsgQueueFileName <name>                 #针对disk queue的配置,定义队列名,存储队列数据时用的文件名就是这个名称

MainMsgQueueCheckpointInterval <number>           #针对disk queue的配置,单位条数,设置在检查点写入相关信息,增加可靠性,但是会降低性能

$MainMsgQueueDequeueBatchSize <number> [default ]     #设置多少条队列作为一个batch一起出队,针对一个日志量很大的系统,可以考虑把这个值调高来增加性能,不过要结合可使用内存考虑实际情况

对于DA队列,最有特点就是队列阈值的设置了。主要包括这几个配置:

$MainMsgQueueSize                       #设置队列的最大大小

$MainMsgQueueDiscardMark <number> [default ]     #配合下面的 $MainMsgQueueDiscardSeverity,超过这个watermark后,不重要的日志都会丢弃,包括新进来和已经在队列里的

$MainMsgQueueDiscardSeverity <severity> [default  (warning)] -Emergency, -Alert, -Critical, -Error, -Warning, -Notice, -Informational, -Debug

$MainMsgQueueHighWaterMark <number> [default ]     #设置 high watermark

$MainMsgQueueLowWaterMark <number> [default ]     #设置 low watermark

$MainMsgQueueMaxFileSize <size_nbr> [default 1m]       #针对disk情况下,单个文件的最大大小

$MainMsgQueueMaxDiskSpace                     #控制占用硬盘总空间大小

DA 对于阈值处理的逻辑比较有意思,并不是单纯的内存满了就开始使用硬盘。首先,有 low watermark 和 high watermark 这两个概念。

如果队列大小达到 high watermark,队列开始写数据到disk 如果队列大小降到 low watermark,停止写入disk(直到再次达到 high watermark); 或者 disk queue 队列为空(即da队列里的数据处理完),这两种情况都会进入in-memory 模式

关于终止队列的一些处理配置:

$MainMsgQueueTimeoutEnqueue [number is timeout in ms (1000ms is 1sec!), default ,  means indefinite]         #当队列或硬盘满了,在这个超时时间后新来的日志,设置0可以直接丢弃掉

$MainMsgQueueTimeoutShutdown <number> [number is timeout in ms (1000ms is 1sec!), default  (indefinite)]         #当队列关闭时,还有数据在进入队列,rsyslog会尽可能在这个timeout周期内处理掉这些数据

$MainMsgQueueTimeoutActionCompletion <number> [number is timeout in ms (1000ms is 1sec!), default ,  means immediate!]     #配置需要多久来处理完当前的数据

$MainMsgQueueSaveOnShutdown [**on**/off]                                                     #针对disk queue的配置,当运行中的队列关闭时,会先把队列中的数据存在硬盘中

$MainMsgQueueDequeueSlowdown <number> [number is timeout in microseconds (1000000us is 1sec!), default  (no delay). Simple rate-limiting!]    # 简单的出队速度限制,单位微秒

$MainMsgQueueImmediateShutdown [on/off]     #弃用的选项,当配置的队列大小或硬盘空间满了以后,rsyslogd 会限制数据submitter。配置 $MainMsgQueueTimeoutEnqueue 后,当超过这个时间后新来的日志会被丢弃;设置0为直接丢弃。

#$MainMsgQueueTimeoutShutdown、$MainMsgQueueTimeoutActionCompletion 和 $MainMsgQueueSaveOnShutdown 是在队列终止后可以做的一系列措施。

关于队列的worker thread:

$MainMsgQueueWorkerThreadMinumumMessages <number> [default ]

$MainMsgQueueWorkerThreads <number> [num worker threads, default , recommended ]

$MainMsgQueueWorkerTimeoutThreadShutdown <number> [number is timeout in ms (1000ms is 1sec!), default  ( minute)]

每个队列(direct queue除外)都有一个工作线程池(worker thread pool). 初始时,是没有worker thread的,当有消息来是,会自动启动一个. “$MainMsgQueueWorkerThreadMinumumMessages” 配置一个worker thread处理的消息大小, $MainMsgQueueWorkerThreads 配置work thread的上限值。

比如设置一个worker thread的最小处理消息大小是100个,当小于100个是,只有一个worker,当超过100个,小于200个时,会有两个worker...

以上配置要注意单位, 默认值,Main Queue 和 Action Queue 可能有些配置的默认值不一样。

另外所有指明针对disk的配置,都是包括 disk queue 和 DA queue.

更多配置参考这里:

在一般情况下,大部分的配置都可以直接使用默认的配置,这里给出一份Action使用DA队列的配置:

# 这两个是全局的

$ActionResumeRetryCount                  

$ActionResumeInterval                    

# 以下是每个ActionQueue自己的配置

$ActionQueueType                         LinkedList

$ActionQueueFileName                     da_queue

$ActionQueueMaxFileSize                  100M         # 设置单个disk文件的大小

$ActionQueueMaxDiskSpace                 10G          # 设置最大占用空间

$ActionQueueDisacdSeverity                           # 设置忽略的等级

$ActionQueueLowWaterMark                          # 默认是2000

$ActionQueueHighWatermark                        # 默认是8000

$ActionQueueDiscardMark                          # 默认是9750

$ActionQueueSize                                 # 文档没写,测试发现默认是1000

$ActionQueueSaveOnShutdown               on

*.* @log-center.xxx.com:

Main Queue 的默认模式是 FixedArray,Action Queue 的默认模式是 Direct

五、实例

1. TCP+DA模式实现可靠消息传输

  tcp协议的不可靠性,比如server端宕机等情况,需要在client端配置一个本地文件,用在server端宕机的情况下,暂时保存消息。需要注意的是。队列名和过滤规则对应,一个队列只能用于一个过滤规则

  举例:

$ActionQueueType LinkedList

$ActionQueueFileName local3

$ActionResumeRetryCount -

$ActionQueueSaveOnShutdown on

Local3.*                                            @@10.0.0.44:

$ActionQueueType LinkedList

$ActionQueueFileName local4

$ActionResumeRetryCount -

$ActionQueueSaveOnShutdown on

Local4.*                                            @@10.0.0.44:

上例中可将两条过滤规则合成一条:local3.*;local4.*

强调一点:本地队列只有在需要使用的时候才会创建,当后端出现短暂不可用时,rsyslog的内存队列就可以保存消息,内存队列不够用时,才会创建本地队列。

Rsyslog初步学习的更多相关文章

  1. json2.js的初步学习与了解

    json2.js的初步学习与了解,想要学习json的朋友可以参考下. json2.js的初步学习与了解 1.)该js的下载地址是:http://www.json.org/json2.js 2.)在页面 ...

  2. 老周的ABP框架系列教程 -》 一、框架理论初步学习

    老周的ABP框架系列教程 -- 一.框架理论初步学习   1. ABP框架的来源与作用简介 1.1  简介 1.1.1       ABP框架全称为"ASP.NET Boilerplate ...

  3. 初步学习nodejs,业余用node写个一个自动创建目录和文件的小脚本,希望对需要的人有所帮助

    初步学习nodejs,业余用node写个一个自动创建目录和文件的小脚本,希望对需要的人有所帮助,如果有bug或者更好的优化方案,也请批评与指正,谢谢,代码如下: var fs = require('f ...

  4. EF Codefirst 初步学习(二)—— 程序管理命令 更新数据库

    前提:搭建成功codefirst相关代码,参见EF Codefirst  初步学习(一)--设置codefirst开发模式 具体需要注意点如下: 1.确保实体类库程序生成成功 2.确保实体表类库不缺少 ...

  5. 初步学习python

    自计算机诞生以来,也伴随着计算机语言的诞生,现在,全世界的编程语言有600多种,但流行的编程语言也就20多种. Java和C一直占据着前两名.但是近年来伴随着人工智能的发展,Python发展迅猛,以其 ...

  6. Git的初步学习

    前言 感谢! 承蒙关照~ Git的初步学习 为什么要用Git和Github呢?它们的出现是为了用于提交项目和存储项目的,是一种很方便的项目管理软件和网址地址. 接下来看看,一家公司的基本流程图: 集中 ...

  7. 语法分析器初步学习——LISP语法分析

    语法分析器初步学习——LISP语法分析 本文参考自vczh的<如何手写语法分析器>. LISP的表达式是按照前缀的形式写的,比如(1+2)*(3+4)在LISP中会写成(*(+ 1 2)( ...

  8. 状态保持以及AJAX的初步学习

    嘿嘿,今天学习的有点迷茫哦,主要学习把验证码使用在登录页面时间的一些逻辑,学习这个时间并没有那么的迷惑哦,可是自己写程序时间倒是有点反应迟钝,不过还好总是在最后搞清楚啦,另外就是一步一步的学习是接近项 ...

  9. LinQ的初步学习与总结

    嘿嘿,说起来ORM和LinQ,就感觉离我好遥远的,在学校是没有学习的,所以总感觉学习了LinQ就是大神,现在嘛,终于也体会一点,感觉LinQ只是初步学习,没有太难,当然以后使用在项目中就没有这样的简单 ...

随机推荐

  1. day 33 线程

    1.线程理论 什么是线程:线程是cpu的最小执行单位(实体),进程是操作系统的数据资源分配单位   2.线程的两种创建方式(重点) 查看线程的pid:使用os模块查看id,线程的id应该是相同的 3. ...

  2. python财经数据接口包Tushare pro的入门及简单使用方式(大数据,股票数据接口)

    最近在做一个项目,需要用到股票的数据,我在网上查了很久,最终发现在股票数据上面还是tushare比较专业,而且对于将来做金融行业的大数据这一块的,tushare绝对是你的一个好帮手,所以下面我就简单介 ...

  3. 嵌入式Linux 网络编程

    涉及到的数据结构: 下面首先介绍两个重要的数据类型:sockaddr和sockaddr_in,这两个结构类型都是用来保存socket地址信息的 定义如下所示: struct sockaddr { un ...

  4. 20155316 2016-2017-2 《Java程序设计》第3周学习总结

    教材学习内容总结 类:创建类.使用类 基本类类型与类类型 数组 封装的概念 重载 类语法 static成员 教材学习中的问题和解决过程 1.既然数组在JAVA中就是对象,那么int[] 是否是一个类呢 ...

  5. day 10 文件

    1.文本文件 ,二进制文件 二进制文件:用vi 打开一个图片,MP3,视频 2.文件打开方式 # 重定向 文件不存在 文件存在 r error 文件开头 w 相当于 > 创建 覆盖,删除以前的内 ...

  6. [POI2011]MET-Meteors

    题面 题解 首先我们尝试暴力,那么就对每个点二分一下即可. 我们发现单独二分复杂度太高,而且有些地方很浪费,如求前缀和等. 那么我们就想,能否将它们合并在一起二分呢? 于是就有了整体二分 整体二分即可 ...

  7. 【BZOJ3142】[HNOI2013]数列

    [BZOJ3142][HNOI2013]数列 题面 洛谷 bzoj 题解 设第\(i\)天的股价为\(a_i\),记差分数组\(c_i=a_{i+1}-a_i\) 则 \[ Ans=\sum_{c_1 ...

  8. 【JUC源码解析】PriorityBlockingQueue

    简介 基于数据结构堆实现的线程安全的无界队列,这个堆的内存结构是数组,结合了数组和二叉树的特点. 堆 以下内容参考<编程珠玑>和<算法导论>有关堆的章节. 数据结构 堆是用来表 ...

  9. 【转】linux下,如何把整个文件夹上传到服务器(另一台linux)

    原文转自:https://zhidao.baidu.com/question/1046040541327493019.html 1.Linux下目录复制:本机->远程服务器 scp  -r /h ...

  10. 一、EnterpriseFrameWork框架总体介绍

    EnterpriseFrameWork框架是自己在工作之余的得意之作,经过了几年时间的不断重构,现在终于有了现在的样子:刚开始只是为了方便开发WEB系统,随着项目越做越多,新的功能也就不断补充进去,补 ...