前言

  由于公司業務是由公司內部開人員及外包團隊共同開發，所以需要使用rsyslog對history日志做收集、審計。雖然搭建及配置非常簡單，但是在日常運維工作中很實用，所以記錄下，方便日后快速搭建。如果有錯誤，望大神指正。

syslog簡介

syslog是Linux系統默認的日志守護進程。默認的syslog配置文件是/etc/syslog.conf文件。程序，守護進程和內核提供了訪問系統的日志信息。因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成該信息。

而rsyslog作為syslog的代替，功能多，性能好。

rsyslog的新功能：

rsyslog是一個加強版的syslog，具有各種各樣的新功能，典型的有：

    1、直接將日志寫入到數據庫。

    2、日志隊列（內存隊列和磁盤隊列）。

    3、靈活的模板機制，可以得到多種輸出格式。

    4、插件式結構，多種多樣的輸入、輸出模塊。

    5、可以把日志存放在Mysql ，PostgreSQL，Oracle等數據庫中

PS：好吧以上內容其實都是大部分引用了別人的blog對rsyslog介紹，這邊我主要講下如何快速使用rsyslog及收集history日志。

部署環境

系統：Centos 6.4 X86_64

應用：rsyslogd 5.8.10

rsyslog服務端

    IP：10.1.4.180

rsyslog客戶端

    IP：10.1.4.181

部署及配置

rsyslog部署

因系統自帶rsyslog所以不需要安裝，如果系統沒帶的話且能上網，則直接yum install rsyslog -y安裝。

server端rsyslog.conf配置

vim /etc/rsyslog.conf

去掉以下項注釋

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
$ModLoad imudp            #開啟支持upd的模塊
$UDPServerRun 514         #允許接收udp 514的端口傳來的日志
ModLoad imtcp             #開啟支持tcp的模塊
$InputTCPServerRun 514    #允許接收tcp 514的端口傳來的日志

在最后添加以下行

local5.* /var/log/history.log  #將local類型5的日志存放到/var/log/history.log下

或在最后添加以下行

$template HistoryiLogFile, "/var/log/history/%HOSTNAME%.log" #以主機名為日志模板，模板名稱為HistoryiLogFile
if $syslogfacility-text == 'local5' then -?HistoryiLogFile #接收local類型5的日志

重啟rsyslog

service rsyslog restart

client端配置

vim /etc/rsyslog.conf

在最后添加以下行

local5.*  @10.1.4.180 #local類型5的日志通過UDP傳輸給10.1.4.180

vim /etc/bashrc

在最后添加

用來實時輸出history日志

HISTFILESIZE=2000
HISTSIZE=2000
HISTTIMEFORMAT="%Y%m%d-%H%M%S: "
export HISTTIMEFORMAT
export PROMPT_COMMAND='{ command=$(history 1 | { read x y; echo $y; }); logger -p local5.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command"; }'

然后使其生效

source /etc/bashrc

重啟rsyslog

service rsyslog restart

在server端tail -f var/log/history.log然后在客戶端隨便執行一條命令，觀察server端是否有history日志生成。

小記：

   由于學習馬哥視頻的進度較慢，所以暫時先上一篇之前做的東西做為blog開篇，順便吐槽下blog編輯樣式問題，不知道為什么辛辛苦苦編輯的樣式最后生成的就是一坨shit，跟我自己編輯的完全不一樣，而且保存草稿就會更改樣式，試過N遍都不行，，算了就醬~

參考文檔

搭建

    http://showerlee.blog.51cto.com/2047005/1231160

    http://litaotao.blog.51cto.com/6224470/1283871

配置

    http://my.oschina.net/duxuefeng/blog/317570

    http://www.linuxyw.com/a/yunweijingyan/xitongguanli/20130529/492.html

    http://blog.carlos-spitzer.com/2013/03/21/how-to-record-users-activity-in-the-whole-system-and-centralize-logs-with-rsyslog/