简介
Syslog 是一种工业标准的协议,用于记录设备的日志。它广泛应用于 UNIX 系统、路由器、交换机等网络设备中,用于记录系统中发生的各种事件。管理者可以通过查看系统日志来掌握系统状况。UNIX 的系统日志是通过 syslogd 进程记录系统事件,也可以记录应用程序的运作事件。通过适当的配置,还可以实现运行 Syslog 协议的机器间的通信,通过分析这些网络行为日志,追踪和掌握设备和网络的状况。
观测云是一款面向全技术栈的监控观测一体化产品方案,观测云能够集成多种数据源,包括日志、指标和追踪数据,提供全面的监控观测能力。观测云数据的采集是通过 DataKit 来实现的,DataKit 的日志采集器,支持防火墙、交换机、VPN、负载均衡等网络安全设备的 Syslog 协议的日志接入。
前置条件
- 观测云SaaS(注册观测云)
- Linux 主机(可以连接 https://openway.guance.com )
- WAF
集成方案
DataKit 的 log 采集器,支持 Socket 协议,使用时 Socket 采集器对外暴露一个端口。在网络设备上配置,DataKit 所在的 IP 和 Socket 端口,即可把日志上报到观测云。下面以 WAF 为例介绍如何把日志上报到观测云。为了方便区分,采集器的 conf 文件名,建议以端口号同名。
部署 DataKit
登录观测云控制台,点击「集成」 -「DataKit」 - 「Linux」,点击“复制”图标。
把复制的安装命令粘贴到 Linux 主机上执行。
开通采集器
DataKit 内置几十种采集器,开通采集器很方便,只需要复制官方提供的 sample 文件,改成 “.conf”结尾,这里我们只需要创建 514.conf。
cd /usr/local/datakit/conf.d/log
cp logging.conf.sample 514.conf修改 Socket 端口,这是配置 514,设置 source 值为 “waf”。
重启 DataKit
执行下面命令,重启 DataKit。
datakit service -R
日志上报
打开 WAF 配置界面,接收IP配置 DataKit 所在主机的 IP,端口配置 Socket 的端口 514。
主机上执行 “datakit monitor”,可以看到 WAF 日志已经采集到了。
效果展示
登录观测云控制台,点击「日志」 -「查看器」,搜索框输入“source:waf”即可搜索到采集到的 WAF 日志。
总结
Syslog 是一种重要的日志记录工具,它帮助系统管理员和开发人员记录、监控和分析系统事件,对于维护系统稳定性和安全性至关重要。使用观测云接入网络设备后,可结合指标、日志、链路对整个系统环境进行综合分析,帮助使用者及早发现并定位问题。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。