当前位置:首页 > 技术文章 > 正文内容

记一次利用GrayLog实现采集与备份云服务器Web访问日志的实现过程

arlanguage3个月前 (02-01)技术文章31


记一次利用GrayLog实现采集与备份云服务器Web访问日志的实现过程

一、业务场景及主要需求:

如图所示

(图片可点击放大查看)

  • 1、采集AWS云服务器(Web服务器)的nginx访问日志,并进行日志分析
  • 2、由于AWS云Web服务器(Web服务器)上磁盘空间有限,nginx日志做了logrotate轮转,只保留了最近5天,但是又想做日志长久留存(不仅仅是安全要求),所以想通过同步或者备份的方式在内网的服务器上对nginx Web日志进行增量备份

二、具体实现的思路

由于AWS云服务器在内网可以SSH访问(AWS云服务器安全组上已经将出口公网IP加入SSH端口的白名单)

  • 1、内网部署一台GrayLog服务器,将Graylog日志服务器的Syslog接收端口2514能过出口防火墙映射到公网
  • 2、AWS云服务器通过rsyslog服务采集本地的nginx日志,并发送上一步中到映射到公网的Syslog UDP端口上,也就是发送GrayLog
  • 3、利用GrayLog服务器的磁盘空间,rsync+SSH+crontab的方式实现文件增量同步备份

三、具体实现步骤

1、AWS云服务器配置rsyslog

说明:本文使用的115.58.180.214公网IP为虚构IP

vi /etc/rsyslog.d/toGraylog.conf 
module(load="imfile" PollingInterval="1")
# Input for FILE1
#wildcard is allowed at file level only
input(
      type="imfile" 
      tag="Nginxlog" 
      ruleset="filelog"
      Facility="local0"
      Severity="info" 
      PersistStateInterval="1" 
      reopenOnTruncate="on" 
      freshStartTail="on" 
      file="/var/log/nginx/access.log"
) 

# Define a template for file events
template(name="GraylogFormatFilelog" type="string" string="%msg%\n")

#Replace the Target and Port values with your GrayLog IP address and port.
ruleset(name="filelog") {
   action(
        type="omfwd" 
        protocol="udp" 
        target="115.58.180.214" 
        port="2514" 
        template="GraylogFormatFilelog" 
        queue.type="LinkedList"
        queue.filename="fileq1"
        queue.saveonshutdown="on"
        action.resumeRetryCount="-1"
   ) stop
}

(图片可点击放大查看)

重启rsyslog服务

systemctl restart rsyslog

(图片可点击放大查看)

2、GrayLog上验证是否收到日志

效果如下

可以对提取出来的access访问IP做GEOIP查询

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

3、实现日志增量备份

先测试一下免密登录是否OK AWS服务器上生成密钥对

ssh-keygen -t rsa -b 4096
cat id_rsa.pub >> /root/.ssh/authorized_keys

(图片可点击放大查看)

GrayLog服务器上验证使用私钥是否可以免密登录到AWS服务器

ssh  -i /home/id_rsa root@115.58.180.214

(图片可点击放大查看)

接下来利用rsync+SSH+crontab实现备份

vi /opt/aws_logs_backup.sh
#!/bin/bash
LOCK=/var/log/aws_logs_rsync_record.log
echo "备份日期:" >> ${LOCK} 2>&1
echo `date '+%Y-%m-%d_%T'`  >> ${LOCK} 2>&1
echo "================= AWS logs Rsync starting==============================="   >> ${LOCK} 2>&1
rsync --progress -avz -e "ssh -p 22 -i /home/id_rsa" root@115.58.180.214:/var/log/nginx/access.log* /opt/AWS_logs_backup/  >> ${LOCK} 2>&1
echo "================= AWS logs Rsync Finished==============================="   >> ${LOCK} 2>&1

(图片可点击放大查看)

赋予脚本执行权限

chmod 755 /opt/aws_logs_backup.sh
crontab -e

[root@graylog ~]# crontab -l
00 0,6,12,18,23 * * * /opt/aws_logs_backup.sh

sh /opt/aws_logs_backup.sh

尝试手动同步是否OK

(图片可点击放大查看)

后续再观察增量同步备份是否OK

rsync参考之前文章:部署CwRsyncServer实现Linux下文件同步到WindowsServer服务器

扫描二维码推送至手机访问。

版权声明:本文由AR编程网发布,如需转载请注明出处。

本文链接:http://www.arlanguage.com/post/1958.html

标签: geoip nginx
分享给朋友:
返回列表

上一篇:全球足迹:用GoAccess绘制访问地图

下一篇:一探究竟:揭秘 Charles 让数据“原形毕露”的神器功能!

“记一次利用GrayLog实现采集与备份云服务器Web访问日志的实现过程” 的相关文章

Nginx-反向代理后应用程序获取客户端真实IP

Nginx反向代理后,后端Java应用通过request.getRemoteAddr()取到的IP是Nginx的IP地址,并非客户端真实IP,通过request.getRequestURL()获取的域名、协议、端口都是Nginx访问Web应用时的域名、协议、端口,而非客户端浏览器地址栏上的真实域名、...

服务器不能正常关机和重启是怎么回事?

服务器不能正常关机和重启是怎么回事?服务器无法正常关机或重启可能是由多种原因引起的,涉及操作系统、硬件、应用程序和配置设置等方面。以下是详细的原因分析及对应的解决方案。一、服务器无法关机/重启的常见原因1. 操作系统问题(1)系统进程未正常终止某些进程或服务在关机时未能按预期停止,导致系统卡在关机或...

haproxy负载均衡入门到转行

haproxy概述haproxy是一款开源的高性能的反向代理或者说是负载均衡服务软件之一,支持双机热备,虚拟主机基于TCP/HTTP应用代理,具有图形界面等功能。其配置简单,而且拥有很好的对服务器节点的健康检查功能(相当于keepalived健康检查),当其代理的后端服务器出现故障时,haproxy...

使用nginx对视频、音频、图片等静态资源网址,加token签权

目前很多静态资源,都可以无权限验证,进行访问或转发,对有价值的资源进行签权,限制转发无法在代码中实现拦截,我们可以使用nginx对视频、音频、图片等静态资源网址,加token签权如:http://192.168.1.22/123.mp3http://192.168.1.22/123.m3u8http...

到 2024 年了,全球仍有 76.4% 的网站在用「已死」的 PHP!

如今资历稍长的程序员,提到 PHP 可能都会联想到一个梗:“PHP 是最好的语言。”这个梗并非出自别处,正源自于 PHP 自己的官方文档:早在 2001 年 7 月,PHP 文档中就有一句“PHP is the best language for web programming(PHP 是世界上最好...

面试常问知识点:Nginx设置代理的一个注意点

前几天,重启了下Nginx代理服务,发现报错了,以下是本次的思考。1:先解决问题查看Nginx错误日志:40 SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handsha...

滇ICP备2024046894号-3