1.Basic Structure

配置:

rsyslogd 配置通过rsyslog.conf file,典型的在/etc下。默认的,

rsyslogd 读取/etc/rsyslog.conf 文件,这个可以通过命令行选项改变

注意 配置可以通过在线rsyslog 配置创建工具生成

配置文件例子可以在rsyslog wiki找到, 同时保留rsyslog 配置片段在你的脑子里。

基本结构:

本节描述 rsyslog 配置基本的工作,想象rsyslog 作为一个大的logging和事件处理工具。

它可以被认为是一个框架具有一些基本的处理,是固定的数据流方式,

但是是高度可定制的在消息流的细节上。在配置过程中,

这个定制是通过定义和自定义rsyslog 对象实现的。

消息流和对象的快速概述:

Message 进入rsyslog 在input 模块的帮助下, 然后,它们可以被传递给规则

在规则被有条件的应用下, 当一个规则匹配, 消息是被传输到action,

然后对消息做一些处理 比如,写到文件,数据库或者转发到远程主机

处理原则

1.输入提交接收到的消息到规则集 

如果规则集没有明确的限制,默认规则集被使用

2. 默认的,这里有一个规则集(RSYSLOG_DefaultRuleset)

3.额外的规则及可以用户自定义

4.每个规则集包含0个或者多个规则

虽然允许0个规则在一个规则集,但是先让没有意义

5.一个过滤器的规则集合一个动作列表

6.过滤器提供yes/no 决定和 从而控制流能力

7.如果一个过滤器(filter say yes)，相应的action列表是被执行。

如果不匹配,没有什么发生

8.规则是按顺序被评估从第一个到最后一个规则在给定的规则集。

从无关的规则集 没有规则会被评估

9. 所有的规则总是被完全评估的,无论是否匹配一个过滤器或者不匹配(我们不会在第一次匹配停止)

如果消息处理应该停止,“discard” action （波浪符号或者停止命令代表）

必须明确被执行。如果 discard被执行,消息处理立即停止,不会评估任何其他规则

10.一个action 列表包含一个或者多个actions

11.在一个action 列表没有进一步过滤是可能的

12. 在一个列表有一个以上的action, &字符必须放在过滤器位置,这个必须立即按照以前的action

13.actions 有action请求本身组成(e.g. ”:omusrmsg:”) 以及所有定义的action配置语句

14. 如果旧的格式被使用,$Action 指令必须被指定在action之前

配置文件

在启动时, rsyslog 读取它的配置从rsyslog.conf 文件,

文件包含引用到其他配置文件

一个不同的"root"配置文件可以通过-f 选项加载,这个通常在一些init脚本或者类似的设备里

语句类型:

Rsyslog 同时支持3种不同类型的配置语句：

sysklogd - t 这是普通的旧的格式, 无处不在 仍旧相当有用对于简单的使用情况。

注意 一些很少的结构是不在被支持了,因为它们不兼容新的功能,这些在兼容性里会提到

legacy rsyslog - 那个语句以$符号开始,它们设置一些配置参数和修改例如 操作的方式。

这是唯一的格式支持在V6版本以前。 但是它仍旧完全被支持在V6和以上版本。

注意一些plugins 和功能可能只能通过legacy format (因为plugins 需要被显示的升级来使用新的style 格式,

不是所有的插件)

RainerScript  最新的样式,这是最好的和最精确的格式用于很多复杂的情况。

rsyslog.conf 文件有语句组成,对于老的样式(ysklogd & legacy rsyslog),

按行。

对于新的样式(RainerScript)  行空间是无关紧要的,

最重要的是, 这意味着新的style actions 和所有其他对象可以分散到多行 当用户需要时

推荐的语句类型:

通常 推荐使用 RainerScript 类型语句,因为它们提供了干净的容易的来读取 控制流程以及对于哪个参数是主动的会没有疑问。

它们也没有副作用对于include 文件,可以是一个主要的障碍对于 legacy rsyslog statements.

对于每个简单的事情 sysklogd 语句类型仍旧是推荐的,尤其是如果 全部配置包含一些简单的事情。

mail.info /var/log/mail.log
mail.err @server.example.net

这是很难被击败的在简单性上,仍旧被教在很多地方

作为一个规则翻阅,RainerScript 配置语句应该被使用当:

配置参数是需要的(例如 动作   legacy statements 类型)

它通常不推荐使用rsyslog legacy config format(那些指定以$符号开始)

然而, 一些少的设置和模块没有被转换到RainerScript。在这些情况下, legacy syntax必须被使用。

Comments

有2种类型的注释:

#-Comments 以#号开始,运行到行结束

处理顺序:

指令是被处理从 rsyslog.conf 的顶部到底部,顺序很重要。

比如, 如果你停止处理消息,显然所有的语句在停止语句后不会被评估

流程控制语句:

数据处理语句:

数据操作是通过设置完成,unset和reset 语句

Inputs

每个input 需要一个input 模块来被加载和一个侦听定义它。

详细的细节可以在rsyslog 模块文件里找到,一旦加载, inputs 通过input()对象

input(type="imfile"
File="/usr/local/apache-tomcat-7.0.55_8082/logs/catalina.out"
Tag="zjzc-api01"
Severity="info"
Facility="local5")

Outputs

输出也被称为"actions", 一个小的actions集 是预加载(像output file writer,

是用于几乎所有的在rsyslog.conf),其他必须被load 就像inputs