#rsyslog

Okay. So today I’ve been working on a monitoring solution for our network. Easy, right? Just receive files and read them

Except it’s not. I set up my receiving correctly, set up the log parsing correctly, set up all of my sorting correctly. The ports are open, the firewall rules are in place, the system is doing its thing. But as the other coworkers on my team are trying to add stuff to my monitoring system, they’re having problems with the receiving. No problem, I’ll handle it. But the most entitled, angry cishet man is one of my coworkers and he’s trying to ask how to navigate a dashboard to read logs while I’m trying to fix a syntax error, and all the while he’s carrying on another conversation across me while I’m trying to get help from the nice old man who works with us to track down what the right syntax is. Too many conversations, but I end up working out a syntax change for template application in rsyslog 8.17 that’s different from 8.14 and solve it with rainerscript. Easy.

But then, angry coworker says his system should be sending logs and asks if I’m getting them. I’m not seeing them in my dashboard, so I dig a little more. I have the files, but they’re not parsing - had to be an issue with reading folders recursively, right? So I change the folder structure. I spend two and a half hours trying different ones. Nothing. So I’m sitting here stumped, I go back and read the logs from his machine, reference 8 year old forum posts, and on accident because I wanted to look at one of the logs parsed earlier this morning I change the time scope from “last 2 hours” to “today” and I find our issue. Lo and behold…

CentOS 7 rsyslog 簡介

心得：

很簡單有用的 log 收集工具，幾乎可用於所有環境下

還能夠搭配其他工具做 log 分析的相關工作

設定 (Server)：

# vim /etc/rsyslog.conf

以下註解拿掉，如下：

# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514

新增以下：

#### RULES #### # 設定範本格式 $template Remote,"/var/log/remote/%HOSTNAME%/%HOSTNAME%.log" # 將非本機的 log 收集起來 :fromhost-ip, !isequal, "127.0.0.1" ?Remote & ~

收集的部…

モチベーション

Dockerコンテナ内で、rsyslogによるアプリケーションログの転送を行なうことになった。Docker/Kubernetesの場合、アプリケーションログは標準出力または標準エラー出力に流せばよい。Kubernetesの場合はデーモンによってCloudWatch LogsやElasticsearchなどに転送し、ログを参照できるようにしている。

また、CloudWatch LogsやElasticsearchにログを転送する場合、JSON形式であるほうが検索する際になにかと都合がよい。

しかしながら、rsyslogのデフォルトのログは構造化されていないため、自力でなんとかする必要がある。加工の方法についてまとまった日本語ドキュメントが見つからなかったため、ここに残しておく。

Docker

DockerコンテナでPostfixを起動し、そのログを出力させることを想定する。Postfixのログはsyslogで記録されるため、rsyslogもあわせてインストールする。

# Dockerfile FROM alpine:3.9 apk add --update --no-cache postfix rsyslog

$ docker build -t postfix . $ docker run -it --rm postfix ash

rsyslog.conf

結論からいうと、/etc/rsyslog.confは以下のようになる。設定は上から順に読み込まれることに注意する。

module(load="imuxsock") $FileOwner root $FileGroup adm $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 template(name="json" type="string" string="{%timegenerated:::date-rfc3339,jsonf:timestamp%,%programname:::jsonf:program%,%msg:2:$:jsonf:message%,%syslogseverity-text:::jsonf:severity%}\n") mail.info /dev/stdout;json mail.err /dev/stderr;json

重要なのはtemplate()で、ここでJSON形式のログをテンプレートによって組み立てる。

nameはテンプレート名で、ここではjsonというテンプレート名にする。 typeはテンプレートの形式で、文字列にマクロを挿入する方式をとる。 stringに実際に流れるログを記述する。

%timegenerated%や%msg%はrsyslogのマクロであり、ここにログの受信時刻やメッセージが埋め込まれる。timegeneratedやmsgはプロパティといい、具体的な意味は、マクロとテンプレートによるrsyslog活用法に詳しく記載されている。 :::の箇所はProperty Replacerで、プロパティ中の文字列置換が可能である。property:fromChar:toChar:optionsの形式で表現され、たとえばmsg:2:$:はmsgの1文字目を省略し、2文字目から採用することを表す。詳細はrsyslogのドキュメントを参照。

jsonfはJSON fieldの略で、jsonf:messageやjsonf:programは、それぞれ"message":"msgの内容...","program":"programnameの内容..."という形式に変換するために必要となる。jsonf:のあとの文字列がオブジェクトのプロパティ名となり、省略した場合はmsgやprogramnameのようになる。なお、オブジェクトの値は適切にエスケープされる。なお、値はすべてStringとなる。

mail.info以上のseverityのログはjsonテンプレートを用いて標準出力へ、mail.err以上のseverityのログは同様にjsonテンプレートで標準エラー出力に流すようにしている。

動作確認

コンテナ内でrsyslogとpostfixを起動させる。

/# rsyslogd /# postfix start

ログを確認すると、

{"timestamp":"2019-06-07T00:00:00.000000+00:00","program":"postfix","message":"...","severity":"info"}

といった形式のログを確認できるはずだ。

その他参考資料

rsyslog templates & json

How to install and configure rsyslog for a centralized Linux log server

How many Linux machines do you administer? If that number is significant, and those machines are all on the same network, do you get tired of having to secure shell into each machine to view individual log files? What if you could configure all of those Linux machines to send their log files to a centralized server? With Linux (and rsyslog), this is not only possible, it’s incredibly easy. I’m…

When a selector ( e.g. facility.priority ) has identified a message the next step is to take an action. Usually this is to write the message to a file. If the file name is preceded by a hyphen - then the file is not synced after each log action, e.g. see man -s 5 syslog.conf :

With the release of RH-7.3 today rsyslog got some nice new features packaged up:

Wildcards inside filenames can be added to messages due to a new imfile module. https://bugzilla.redhat.com/show_bug.cgi?id=1303617