使用rsyslog讀取本地日志文件
點擊上方“IT那活兒”公眾號�,關(guān)注后了解更多內(nèi)容,不管IT什么活兒���,干就完了?�。��?����!
將本機實時生成的操作日志或者業(yè)務(wù)記錄日志通過rsyslog傳到日志服務(wù)器中想必大家都了解如何配置�,但是當日志已經(jīng)保存為文件后�,怎么從日志文件中讀取日志,并傳輸?shù)饺罩痉?wù)器中呢�?這就要使用到rsyslog中自帶的imfile模塊了。作用:此模塊提供將任何標準文本文件轉(zhuǎn)換為系統(tǒng)日志消息的能力�����。imfile模塊讀取文件是逐行讀取的�����,任何讀取的行都會傳遞到 rsyslog 的規(guī)則引擎����,規(guī)則引擎應(yīng)用過濾條件并選擇需要執(zhí)行的操作,且不處理空行�����。寫入新行時�,它們會從文件中讀取并進行處理。1. 讀取的策略分為兩種:輪詢和inotify
- 輪詢:imfile在不指定策略的前提下���,默認為輪詢��,即一定時間間隔內(nèi)檢查文件變化��,所以會有一定的延遲�����;
- inotify:基于文件監(jiān)控系統(tǒng)的機制���,監(jiān)控文件發(fā)生修改���、新增、刪除等操作����,當文件發(fā)生變化時,觸發(fā)該機制�����,對文件進行讀取�。
當 rsyslogd 在監(jiān)視文本文件時停止,它會記錄上次處理的位置并在重新啟動時從檢查點繼續(xù)讀取�����。因此在重新啟動期間不會丟失任何數(shù)據(jù)��。1)版本:8.25.0及以前 僅在文件名部分支持通配符�,在目錄名稱中不支持
2)版本:8.25.0以后文件名和路徑支持通配符
但是需要注意的是當被監(jiān)控文件過多時�����,會降低 imfile 的性能。
參數(shù)說明:
- File:被監(jiān)控的文件���。必須是絕對地址��,文件名支持通配符。
- Tag:標記信息���,會記錄到每行被讀取到的日志中�����。
- Facility:要分配給從此文件讀取的消息的系統(tǒng)日志工具�����?����?梢灾付槲谋拘问剑ɡ鏻ocal0, local1, ...)或數(shù)字(例如 16 表示local0)��,建議采用文本形式���,默認為local0。
- Severity:要分配給讀取的行的系統(tǒng)日志嚴重性?��?梢砸晕谋拘问剑ɡ鏸nfo, warning, ...)或數(shù)字(例如 6 表示info)指定�。建議采用文本形式��。默認為notice�。
- PersistStateInterval:指定在處理輸入文件時應(yīng)多久寫入一次狀態(tài)文件。該缺省值是0���,任何其他值 n 意味著至少在每次處理 n 個文件行時寫入狀態(tài)文件�。此設(shè)置可用于防止由于致命錯誤(如電源故障)而導致消息重復�����。
- readMode:這為處理某些標準類型的多行消息提供了支持��。0 -(默認)基于行(每行是一條新消息)����;
2 - 基于縮進(新的日志消息從一行的開頭開始�����。如果一行以空格或制表符“t”開頭,它就是它之前的日志消息的一部分)�����。
#載入imfile文件��,并設(shè)置PollingInterval值為5����。module(load="imfile" PollingInterval="5")
input(type="imfile"
File="/app/udal/dbproxy_****/logs/udal_monitor_slow_sql.log"
Tag="teledb#133. ****
Severity="info" Facility="local6")
#使用UDP將采集到的日志傳輸?shù)饺罩痉?wù)器中 local6.* @133.****:****至此我們便了解了imfile的應(yīng)用場景����,也完成了rsyslog采集文件中日志的配置。
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/129452.html
