交換機等網(wǎng)絡(luò)設(shè)備基本上都支持將本地日志通過syslog 協(xié)議傳輸?shù)胶蠖朔?wù)器上集中查看和存儲，畢竟這類設(shè)備的存儲容量也有限。操作系統(tǒng)也是支持syslog協(xié)議的。從網(wǎng)上看日志集中管理很多都偏向了ELK解決方案，也看了下ELK，總感覺太重了，部署和維護都較為復(fù)雜。所以就想使用python 的socket實現(xiàn)一個syslog服務(wù)器，將接收到的日志按照IP和時間存儲成文件，方便查閱。后續(xù)可以通過python web框架，將接收到的信息通過web界面展現(xiàn)出來，并能夠?qū)邮招畔⑦M行過濾，發(fā)現(xiàn)異常信息后及時進行告警處理。

1. 首先實現(xiàn)一個syslog 日志服務(wù)器，使用python 簡直簡單的不能再簡單。

import socket
from datetime import date
udp = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
udp.bind(('0.0.0.0',514))
 
while True:
    rec_msg, addr = udp.recvfrom(2048)
    client_ip, client_port =addr
    msg =  client_ip + " " + rec_msg.rstrip(b'\x00').decode('utf-8','ignore')
 
    print('msg from client:', msg)    
    filename = client_ip   + '_' +  str(date.today())  + ".log"
    with open(filename,'a+',encoding = "utf-8") as f:
        f.write( msg + "\n") 

2. 先編寫一個發(fā)送syslog的客戶端程序，測試服務(wù)器端是否正常運行。

import socket
from datetime import datetime
udp = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
print(socket.AF_INET, socket.SOCK_DGRAM)
now = str(datetime.today())[:19]
ack_msg= now + ' hello,udp client '  
addr = ('192.168.8.95',514) 
udp.sendto(ack_msg.encode('utf8'),addr)

3. 在交換機上配置將日志發(fā)送到syslog 服務(wù)器。

infor-center localhost 192.168.2.1

這時發(fā)現(xiàn)syslog服務(wù)器是可以接收到消息的，但在vscode中點擊文件時，提示

使用vscode的內(nèi)置編輯器強行打開后，發(fā)現(xiàn)每行記錄后面都帶有一個null字樣的。

讓程序輸出接收到的upd消息，發(fā)現(xiàn)rec_msg是一個bytes類型，且最后帶有\(zhòng)x00的字樣。

<class 'bytes'> b'<134>Aug 17 10:25:57 2022 ACCSW-2.11 %%10SHELL/6/SHELL_CMD: -Line=vty5-IPAddr=192.168.8.68-User=thomas; Command is dis cur\x00'

所以在前面的程序中，將\x00從右側(cè)去除，保存的文本就正常了。

4. 配置linux服務(wù)器發(fā)送syslog日志到服務(wù)器

linux 的大部分發(fā)行版內(nèi)置了rsyslog服務(wù)，修改/etc/rsyslog.conf文件，將

module(load="imudp") # needs to be done just once
input(type="imudp" port="514")

這兩行的注釋去掉，讓其啟用。

然后在末尾添加

*.emerg,*.alert,*.crit,*.err,*.warning,*.notice,*.info,*.debug @192.168.2.1

然后重啟rsyslog 服務(wù)。systemctl restart rsyslog

5. 這時在服務(wù)器上就可以看到日志了。