如何使用syslog向服務器協(xié)議？

互聯(lián)網日志采集方案

對于互聯(lián)網來說,獲取用戶在網站上的訪問記錄,進行行為分析至關重要。日志的獲取有好多種,例如:服務器日志數(shù)據、客戶端裝一些監(jiān)視軟件發(fā)送日志、頁面標記法等。這些數(shù)據遍布公司成百上千的服務器上,如何將這些數(shù)據收集到一起,供后續(xù)分析使用,是一大技術難題。數(shù)據采集之Sys Log同步方案,帶大家一起了解日志收集的方式。Syslog已成為工業(yè)標準協(xié)議的系統(tǒng)日志,目前,可用它記錄設備的日志。在路由器、交換機、服務器等網絡設備中,syslog記錄著系統(tǒng)中的任何事件,管理者可以通過查看系統(tǒng)記錄,隨時掌握系統(tǒng)狀況。它能夠接收遠程系統(tǒng)的日志記錄,在一個日志中按時間順序處理包含多個系統(tǒng)的記錄,并以文件形式存盤。同時不需要連接多個系統(tǒng),就可以在一個位置查看所有的記錄。syslog使用UDP作為傳輸協(xié)議,通過目的端口514(也可以是其他定義的端口號),將所有安全設備的日志管理配置發(fā)送到安裝了syslog軟件系統(tǒng)的日志服務器,syslog日志服務器自動接收日志數(shù)據并寫到日志文件中。

目前B2B這邊就廣泛使用SysLog方式來采集日志數(shù)據, 主要是基于以下幾點:

1、Syslog 協(xié)議廣泛應用在編程上,許多日志函數(shù)都已采納 syslog協(xié)議,syslog用于許多保護措施中。可以通過它記錄任何事件。通過系統(tǒng)調用記錄用戶自行開發(fā)的應用程序的運行狀況。通過syslogd(負責大部分系統(tǒng)事件的守護進程),將系統(tǒng)事件可以寫到一個文件或設備中,或給用戶發(fā)送一個信息。它能記錄本地事件或通過網絡記錄到遠端設備上的事件。

2、當今網絡設備普遍支持syslog協(xié)議。幾乎所有的網絡設備都可以通過syslog協(xié)議,將日志信息以用戶數(shù)據報協(xié)議(UDP)方式傳送 到遠端服務器,遠端接收日志服務器必須通過syslogd監(jiān)聽UDP 端口514,并根據 syslog.conf配置文件中的配置處理本機,接收訪問系統(tǒng)的日志信息,把指定的事件寫入特定文件中,供后臺數(shù)據庫管理和響應之用。意味著可以讓任何事件都登錄到一臺或多臺服務器上,以備后臺數(shù)據庫用off-line(離線) 方法分析遠端設備的事件。

3、Syslog 協(xié)議和進程的最基本原則就是簡單,在協(xié)議的發(fā)送者和接收者之間不要求嚴格的相互協(xié)調。事實上,syslog信息的傳遞可以在接收器沒有被配置甚至沒有接收器的情況下開始。反之,在沒有清晰配置或定義的情況下,接收器也可以接收到信息。