文档基于rsysylog v7。
模块是rsyslog比较强的一部分,非常灵活。
大致分为3类,老样子先看图:
分别负责不同功能,
input module : input 主要功能是从某个数据源读取输出,可以是tcp/udp,文件,管道等,下面是个常用的。
imtcp:主要功能就是打开端口,让数据进来。
MaxSessions :默认是200,需要调大一点。
imudp:也是打开端口
其他的不太常用。
Parser Modules:是做一些日志解析用的,既然是分析不会修改日志的实际内容是本质。
pmlastmsg:直接引用e文解释吧“parser module for "last message repeated n times".吧那些重复n次的日志还原出来,让分析更方便。
pmrfcXXX:用来解析某种协议的模块。
Message Modification Modules:
功能是数据进入后,做一些修改,可以根据某些条件按增加或减少一些数据。
我用的不多,就直接看原文档吧。稍微写了几个。
mmanon:将ip转换成名字。
Output Modules:输出模板,这个模板是最常用的。数据被输出到哪里,就由他来定义。
omfile:日志会被输出成文件,其中有几个重要的选项。
Template:日志输出格式。
DynaFileCacheSize:文件命名方式。
ZipLevel:压缩比,能直接输出压缩格式的文件,很方便。
DirOwner,DirGroup ,FileOwner,FileGroup ,DirCreateMode,FileCreateMode:创建文件的各种参数。
IOBufferSize:如名.
ASyncWriting:是否一写入就同步磁盘,程序为了保证日志的完整性,默认是off的状态。也就是不用buffer,你可以自己选择。
omfwd:日志会被转发,里面有各种转发方式。
同样有
Template 选项,另外:
Target:发送目标。 Port :端口。 Protocol:方式
ZipLevel:日志发送前会被压缩,减少网络流量。楼主测试,使用9的比例压缩,压缩后为原大小70%,占用cpu多15%。
让然日志的数也决定了cpu,这个就看各位自己了。
omrelp:以relp协议发送,这个协议是一个类似http的协议。
自己内部实现了数据完整性和校验,号称能减少日志丢失。配置很简单:
target :目标 Port:端口 template:模板 timeout:时间
另外还有 mysql/oracle/sock/mail/prog/libdbi/hdfs 等,模块很多。
但是这次没有用到,就不乱写了。
文档在这里:
阅读(5631) | 评论(0) | 转发(0) |
