簡介

Syslog 是一種工業標準的協議，用於記錄設備的日誌。它廣泛應用於 UNIX 系統、路由器、交換機等網絡設備中，用於記錄系統中發生的各種事件。管理者可以通過查看系統日誌來掌握系統狀況。UNIX 的系統日誌是通過 syslogd 進程記錄系統事件，也可以記錄應用程序的運作事件。通過適當的配置，還可以實現運行 Syslog 協議的機器間的通信，通過分析這些網絡行為日誌，追蹤和掌握設備和網絡的狀況。

觀測雲是一款面向全技術棧的監控觀測一體化產品方案，觀測雲能夠集成多種數據源，包括日誌、指標和追蹤數據，提供全面的監控觀測能力。觀測雲數據的採集是通過 DataKit 來實現的，DataKit 的日誌採集器，支持防火牆、交換機、VPN、負載均衡等網絡安全設備的 Syslog 協議的日誌接入。

前置條件

• 觀測雲SaaS（註冊觀測雲）
• Linux 主機（可以連接 https://openway.guance.com ）
• WAF

集成方案

DataKit 的 log 採集器，支持 Socket 協議，使用時 Socket 採集器對外暴露一個端口。在網絡設備上配置，DataKit 所在的 IP 和 Socket 端口，即可把日誌上報到觀測雲。下面以 WAF 為例介紹如何把日誌上報到觀測雲。為了方便區分，採集器的 conf 文件名，建議以端口號同名。

部署 DataKit

登錄觀測雲控制枱，點擊「集成」 -「DataKit」 - 「Linux」，點擊“複製”圖標。

把複製的安裝命令粘貼到 Linux 主機上執行。

開通採集器

DataKit 內置幾十種採集器，開通採集器很方便，只需要複製官方提供的 sample 文件，改成 “.conf”結尾，這裏我們只需要創建 514.conf。

cd /usr/local/datakit/conf.d/log
cp logging.conf.sample 514.conf

修改 Socket 端口，這是配置 514，設置 source 值為 “waf”。

重啓 DataKit

執行下面命令，重啓 DataKit。

datakit service -R

日誌上報

打開 WAF 配置界面，接收IP配置 DataKit 所在主機的 IP，端口配置 Socket 的端口 514。

主機上執行 “datakit monitor”，可以看到 WAF 日誌已經採集到了。

效果展示

登錄觀測雲控制枱，點擊「日誌」 -「查看器」，搜索框輸入“source:waf”即可搜索到採集到的 WAF 日誌。

總結

Syslog 是一種重要的日誌記錄工具，它幫助系統管理員和開發人員記錄、監控和分析系統事件，對於維護系統穩定性和安全性至關重要。使用觀測雲接入網絡設備後，可結合指標、日誌、鏈路對整個系統環境進行綜合分析，幫助使用者及早發現並定位問題。