一.簡介
日志服務SLS支持通過logtial客戶端采集機器組的系統(tǒng)日志到日志服務中����,syslog是Linux系統(tǒng)默認的日志守護進程�,默認的主配置文件和輔助配置文件分別是/etc/syslog.conf和/etc/sysconfig/syslog文件,在配置采集的過程中�,經常會遇到無法采集的情況,本篇文檔主要是采集syslog日志的基本概念和采集方法的說明��,還有采集失敗常見的排查方法���。
二.rsyslog配置文件
文件名稱:/etc/syslog.conf
文件內容格式:facility.level action
facility代表消息類型���,level代表級別,action代表動作
在 /etc/rsyslog.conf 中根據需要修改配置�����,例如:
$WorkDirectory /var/spool/rsyslog # where to place spool files
$ActionQueueFileName fwdRule1 # unique name prefix for spool files
$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
$ActionQueueType LinkedList # run asynchronously $ActionResumeRetryCount -1 #
infinite retries if host is down # 定義日志數(shù)據的字段 $template ALI_LOG_FMT,"0.1 sys_tag
%timegenerated:::date-unixtimestamp% %fromhost-ip% %hostname% %pri-text%
%protocol-version% %app-name% %procid% %msgid% %msg:::drop-last-lf%\n" *.*
@@10.101.166.173:11111;ALI_LOG_FMT
配置文件最后一行����,. @@10.101.166.173:11111;ALI_LOG_FMT
第一個*代表所有的消息類型
第二個*代表所有級別的消息
@@代表TCP協(xié)議(@代表UDP)
10.101.166.173代表該syslog消息要轉發(fā)到的主機
11111代表11111端口
ALI_LOG_FMT代表模版名稱
所以整個一行代表,所有類型����、所有級別的消息都通過TCP協(xié)議轉發(fā)到10.101.166.173主機的11111端口,消息內容使用模版 ALI_LOG_FMT
配置文件倒數(shù)第二行����,$template ALI_LOG_FMT,"0.1 sys_tag
%timegenerated:::date-unixtimestamp% %fromhost-ip% %hostname% %pri-text%
%protocol-version% %app-name% %procid% %msgid% %msg:::drop-last-lf%n"
$template :模版標識
ALI_LOG_FMT:模版名稱
雙引號:模版內容
0.1:該日志格式的版本號�����,Logtail使用該版本號解析user-defined-field 字段。
sys_tag:數(shù)據標簽�,用于尋找Project或Logstore,在控制臺中的tag名稱
timegenerated:::date-unixtimestamp%:該條日志的時間戳�����。
%fromhost-ip%:該條日志的對應的機器IP��,如果日志中的該字段是 127.0.0.1���,最終發(fā)往服務端的日志數(shù)據中該字段會被替換成 TCP
socket的對端地址�����。
%hostname% ~~ %msgid%:用戶自定義字段���,中括號表示是可選字段。
%msg:::drop-last-lf%:日志消息正文�����。
三.ilogtial配置文件
文件名稱:/usr/local/ilogtail/ilogtail_config.json
文件格式:
"config_server_address" :
"http://logtail.cn-shanghai.log.aliyuncs.com",日志服務訪問域名 "data_server_list" : [ {
"cluster" : "cn-shanghai"��,所在區(qū)域 "endpoint" : "cn-shanghai.log.aliyuncs.com"���,接入點
} ], "cpu_usage_limit" : 0.4���,CPU占用率閾值 "mem_usage_limit" : 256,常駐內存使用閾值
"max_bytes_per_sec" : 20971520��,Logtail發(fā)送原始數(shù)據的流量限 "buffer_file_num" :
25��,緩存文件的最大數(shù)目 "buffer_file_size" : 20971520��,緩存文件可以實際使用的最大磁盤空間 "streamlog_open" :
false��,是否打開接受syslog功能(非常重要���,和rsyslog功能相關) "streamlog_pool_size_in_mb" :
50��,用于緩存接收到的syslog數(shù)據��。 "streamlog_rcv_size_each_call" : 1024���,linux socket rcv
接口使用的緩沖區(qū)大小 "streamlog_formats":[]�,定義接收到的 syslog 日志解析方式��。 "streamlog_tcp_port" :
11111����,logtail 用于接收 syslog 日志的 TCP 端口
整個配置文件只有三個參數(shù)和rsyslog采集有直接關系���,streamlog_open�����、streamlog_tcp_port和streamlog_formats
streamlog_open:rsyslog采集是否開啟
streamlog_tcp_port:ilogtail采集rsyslog日志端口
streamlog_formats:ilogtail采集日志的類型
streamlog_formats:
[ {"version": "2.1", "fields": ["level", "method"]}, {"version": "2.2",
"fields": []}, {"version": "2.3", "fields": ["pri-text", "app-name",
"syslogtag"]} ]
其中"version": "2.1"對應的/etc/rsyslog.conf 中的0.1����,fields對應/etc/rsyslog.conf
中的%hostname% ~~ %msgid%���,可以設置提取那個字段�����,如果將/etc/rsyslog.conf
中的0.1改為2.1�,就會匹配到{"version": "2.1", "fields": ["level",
"method"]},從而日志服務loghub中提取到用戶自定義字段的日志格式就是level和method���。
四.日志服務配置步驟
1.安裝logtial
2.創(chuàng)建syslog類型配置
3.配置/usr/local/ilogtail/ilogtail_config.json
4./etc/syslog.conf
日志服務官網采集syslog日志文檔
<https://help.aliyun.com/document_detail/48932.html?spm=a2c4g.11186623.6.606.AveyP2>
五.排查步驟
現(xiàn)象:控制臺數(shù)據無法采集
1.排查rsyslog服務
(1)按照rsyslog排查��,理解rsyslog配置文件�����,可以很簡單的排查syslog.conf配置錯誤的問題����,可以配置多個模版�����。
(2)排查rsyslog服務是否啟動使用service rsyslog status
(3)排查rsyslog監(jiān)聽端口和轉發(fā)端口
這里可以看到一個rsyslog進程�,兩個sockets監(jiān)聽,一個監(jiān)聽本機的53552端口����,轉發(fā)到本機的11111端口,另一個監(jiān)聽本機的53554端口�����,轉發(fā)到本機的11111端口,有兩個是因為syslog.conf中配置了兩個規(guī)則��,而ilogtial服務也啟動了三個�,兩個ESTABLISHED狀態(tài)的監(jiān)聽與兩個ESTABLISHED狀態(tài)的rsyslog監(jiān)聽在進行數(shù)據傳輸。
2.排查ilogtail服務
(1)排查ilogtial服務運行狀態(tài)����,通過/etc/init.d/ilogtaild status判斷ilogtial服務的運行狀態(tài)。
(2)排查ilogtial日志是否有報錯�����,通過ilogtail.LOG判斷ilogtial服務是否有報錯���。
3.排查機器組狀態(tài)
(1)排查機器組狀態(tài)是否是OK狀態(tài),可參考文檔
<https://help.aliyun.com/document_detail/48851.html?spm=a2c4g.11186623.2.5.WTCnCy>
4.控制臺上檢查
(1)可以通過控制臺診斷判斷問題所在�,查到的報錯關鍵字對比文檔
<https://help.aliyun.com/document_detail/49911.html>
(2)通過預覽數(shù)據看下是否采集到了數(shù)據,如果采集到���,倒是查詢無法查到����,應該是沒有開啟日志索引����,或者設置索引錯誤導致的��,可以參考文檔
<https://help.aliyun.com/document_detail/29000.html?spm=a2c4g.11186623.6.652.rBeMql>
