Rsyslog 基本结构

基本结构

简介：

　　rsyslog是一个高度可定制化的日志和事件处理工具集。

　　信息在输入模块的处理下进入rsyslog，然后被传递到规则集，当成功被规则匹配值之后，信息将进行下一个环节，写入数据库或文件或远程主机那里。

---

message处理的原则：

(1)输入的message被提交到设置的规则部分，如果没有设置特别的规则，将应用默认的规则。
(2)默认的规则是RSYSLOG_DefaultRuleset
(3)额外的规则可以由用户进行定义
(4)每一个规则都必须包含零个或多个规则，但是零个规则的规则集显然毫无意义。
(5)一个规则由一个过滤器和一个执行action列表组成
(6)filter提供yes/no的能力和控制流的能力
(7)如果匹配成功规则之后将执行相应的action列表，如果匹配失败则不作任何action
(8)按顺序执行所有规则
(9)无论是否有一个过滤器匹配，所有规则都必须被充分考虑到，如果匹配到filter之后的action是discard那么就没有必要继续进行匹配。
(10)一个action列表可以包含一个或多个列表
(11)在一个action列表里面不会再进行filter动作
(12)如果一个action列表里面包含多个action，&字符必须放置在过滤器的位置，紧随着先前的action(此处强调的是一个书写格式)
(13)action由调用的action组成，所有的action都必须被定义，示例(e.g. ":omusrmsg:"， $Action... directives)
(14)如果legacy格式被使用，$Action指定必须在指定的action中配置
(15)一些配置指令自动引用之前的值被应用后，而其他的则有可能不(不理解这句话的意思，进一步往下看吧)
(16)目前rsyslog5是严重过时的版本，强烈建议至少使用7以上的版本，这样的配置会变得更容易些。

---

配置文件：

　　rsyslog默认读rsyslog.conf文件，这个文件能包含其他的配置文件，通常rsyslogd可以通过-f <file>制定配置文件启动。

声明类型：

rsyslog能够兼容3种不通的配置声明类型
sysklogd：
　　这是最普通的格式，对于简单的用例仍然非常有用。注意：一些很少的features不再支持,因为一些新功能对它是不兼容的。
legacy rsyslog：
　　这些格式的语句是以$开头的，它是唯一pre-v6支持的版本，同时也支持6以上的版本，在一些插件和新功能中可能仍然需要
　　使用这种格式书写(因为插件需要影响升级到使用新样式的格式,这并没有发生在所有插件)
RainerScript:
　　这是一种新的风格的格式，能够在复杂的情况下精确的表达配置的含义，
rsyslog.conf文件由statements组成，对于旧格式(sysklogd & legacy rsyslog)，lines是重要的，但是新格式却不在乎这些。

---

推荐使用的Statement Types

一般情况下，推荐使用RainerScript Statement Types，简洁且易读，很容易看出哪些参数是活跃的。
在一些简单的事情上，sysklogd格式的配置方式会显得特别方便，示例:
　　mail.info /var/log/mail.log
　　mail.err @server.example.net
作为经验法则，在如下的情况下请使用RainerScript格式配置：
　　配置需要参数的时候
　　复杂的控制流，例如在多个操作需要在相同条件下嵌套
通常是不推荐使用legacy格式，但是在一些特殊的情况下可能不得不用，因为并不是所有的配置各模块全部转换成了RainerScript格式

---

Comments(注解)

　　1、已#号开头的注释方法
　　2、c语言的注释方法，/* */

---

Processing Order(处理的顺序)

　　rsyslog.conf配置的顺序是从上至下的，顺序是很重要的，如果message被停止处理之后，后面的配置将不起作用。

---

Flow Control Statements(控制流的格式)

　　if expr then ... else ... - 条件执行
　　stop - 停止处理当前的信息
　　call - 调用一个规则集处理
　　continue - 经常用于放置在if内部
　　流控制部分可以参考链接：http://www.rsyslog.com/doc/v7-stable/configuration/filters.html

---

Data Manipulation Statements(数据处理声明)

　　set - 设置一个用户变量
　　unset - 删除一个之前设置的用户变量

---

Inputs

　　每个输入都需要一个输入模块加载和定义一个listener，input是通过input()对象来定义的。
　　rsyslog modules参考http://www.rsyslog.com/doc/v7-stable/configuration/rsyslog_conf_modules.html

---

Outputs

　　Outputs被称为actions，action调用action(type="type" ...)，类型是强制性的(强制的)和必须包含插件的名称。

---

Rulesets and Rules

　　规则集和规则形式是rsyslog处理的基础。简而言之,一个规则是一种rsyslog应当如何处理一个特定的信息。
　　通常,有一个类型的过滤(if语句)的规则。复杂的嵌套规则就像在一个编程语言。
　　规则集是规则的容器。单一规则集可以包含许多规则。在编程语言的比喻(类比),规则集的一个可能认为像一个程序。
　　一个规则集可以"约束"(分配)到一个特定的输入。在类比,这意味着当一个消息通过输入进来,"程序"(规则集)绑定到它将被执行(而不是其他)。
　　一个简单的relus如下：

ruleset(name="rulesetname") {
action(type="omfile" file="/path/to/file")
action(type="..." ...)
/* and so on... */
}

　　关于rsyslog的rules文档信息如下：http://www.rsyslog.com/doc/v7-stable/concepts/multi_ruleset.html

---