【Splunk】使用syslog-ng和HF（UF）收集syslog日志（二）源端（Nginx）配置

在“Splunk：使用syslog-ng和HF（UF）收集syslog日志（一）”一文中写了整体的配置，这部分详细讲讲源端（nginx）这部分的配置细节。

一、配置关系图

（加入知识星球“企业Splunk实践”查看高清大图）

二、Nginx access日志配置

配置说明

在nginx.conf文件里或站点配置文件里配置即可，log_format指定日志格式，access_log指定日志存储路径，这里主要说明下access_log的配置。

access_log syslog:server=unix:/usr/local/nginx/logs/nginxaccess.sock,tag=nginx_access,nohostname nginxjsonupstream;

“syslog：”：通过syslog记录；

“server=unix:/usr/local/nginx/logs/nginxaccess.sock”：指定UNIX-domain socket路径，不用手动创建该文件；

“tag=nginx_access”：设定syslog tag，默认为nginx；

“nohostname”：在syslog header中不添加hostname；

“nginxjsonupstream”：指定log_format；

这里还有几个参数可以设定：

“facility”：指定syslog facility，默认为local7；

“severity”：指定syslog severity，默认为info；

tag、facility、severity这几个参数可以根据实际情况修改，这几个参数很重要，在后面rsyslog、syslog-ng配置中我们都会用到这几个值。

参考资料

Configuring Logging：

https://www.nginx.com/resources/admin-guide/logging-and-monitoring/

Module ngx_http_log_module：

http://nginx.org/en/docs/http/ngx\_http\_log\_module.html

Logging to syslog

http://nginx.org/en/docs/syslog.html

三、Rsyslog配置

配置说明

rsyslog配置部分，我们先说说以下部分。

第一部分nginx日志处理，按照实际配置关系，我们按照颜色单独分作两部分：

template(name="T_nginxaccess_remote" type="string" string="%syslogtag% %msg%\n")

template(name="T_nginxaccess_local" type="string" string="%msg%\n")

template(name="T_nginxaccess_File" type="string" string="/usr/local/nginx/logs/access_%$year%-%$month%-%$day%.log")

ruleset(name="nginxaccessrule") {

   action(type="omfile" dynaFile="T_nginxaccess_File" Template="T_nginxaccess_local" ioBufferSize="1512k" flushOnTXEnd="off" asyncWriting="on")

   action(type="omfwd" Target="10.100.18.28" Port="1515" Protocol="tcp" Template="T_nginxaccess_remote" )

}

input(type="imuxsock" Ruleset="nginxaccessrule" Socket="/usr/local/nginx/logs/nginxaccess.sock")

具体的配置语法请查看参考资料。

红色部分是将日志记录到本地：

dynaFile="T_nginxaccess_File"：指定日志存储路径及命名为按天生成；

Template="T_nginxaccess_local"：指定日志格式，具体的日志格式为string="%msg%\n"；

我们从实际access日志可以看到，日志格式和在nginx上配置的log_format格式是一样的，也就是说%msg%这个字段就等于：

{"@timestamp":"$time_iso8601",'

'"hostaddr":"$server_addr",'

'"remote_addr":"$remote_addr",'

'"http_x_forwarded_for":"$http_x_forwarded_for",'

'"request_method":"$request_method",'

'"domain":"$host",'

'"uri":"$uri",'

'"request_uri":"$scheme://$http_host$request_uri",'

'"status":$status,'

'"server_protocol":"$server_protocol",'

'"size":$body_bytes_sent,'

'"responsetime":$request_time,'

'"http_referer":"$http_referer",'

'"upstr_addr": "$upstream_addr",'

'"upstr_status": $upstream_status,'

'"ups_resp_time": $upstream_response_time,'

'"accept":"$http_accept",'

'"agent": "$http_user_agent"}'

蓝色部分是将日志发往syslog-ng服务器：

Target="10.100.18.28"：服务器IP

Port="1515"：端口

Protocol="tcp"：协议

Template="T_nginxaccess_remote" ：日志发出去的格式

请注意：

在这我们定义的日志格式是string="%syslogtag% %msg%\n"，和本地定义的格式string="%msg%\n"不一样。

但是，大家可以看看第一篇文章中的图，我们最终在syslog-ng服务器（10.100.18.28）上记录的acces日志格式是和本地（10.100.18.247）记录的access日志格式是一样的。

那么有两个问题：

1、为什么定义的格式不一样，但是最终记录的日志格式是一样的？

2、为什么需要再发往syslog-ng服务器时，加上“%syslogtag% ”部分，作用是什么？

这部分非常重要，后续我们在syslog-ng配置部分再讲。

第二部分linux服务器日志处理：

*.info,local7.none @@10.100.18.28:1515

这部分的配置是把linux的系统日志*.info都发给了syslog-ng服务器。

@@：代表TCP方式，如果是@代表UDP；

10.100.18.28：syslog-ng服务器IP；

1515：端口；

这里为什么加上local7.none，在nginx配置部分我们知道nginx通过syslog记录日志的时候，默认facility是local7，severity是info。这边加上local7.none就不会再把nginx日志重复发一份到syslog-ng服务器（因为我们上边已经发了一份了）。

参考资料

Configuration：

http://www.rsyslog.com/doc/v8-stable/configuration/index.html

加入星球查看更多内容：