交换机等网络设备基本上都支持将本地日志通过syslog 协议传输到后端服务器上集中查看和存储，毕竟这类设备的存储容量也有限。操作系统也是支持syslog协议的。从网上看日志集中管理很多都偏向了ELK解决方案，也看了下ELK，总感觉太重了，部署和维护都较为复杂。所以就想使用python 的socket实现一个syslog服务器，将接收到的日志按照IP和时间存储成文件，方便查阅。后续可以通过python web框架，将接收到的信息通过web界面展现出来，并能够对接收信息进行过滤，发现异常信息后及时进行告警处理。

(资料图片仅供参考)

1. 首先实现一个syslog 日志服务器，使用python 简直简单的不能再简单。

import socket
from datetime import date
udp = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
udp.bind(("0.0.0.0",514))
 
while True:
    rec_msg, addr = udp.recvfrom(2048)
    client_ip, client_port =addr
    msg =  client_ip + " " + rec_msg.rstrip(b"\x00").decode("utf-8","ignore")
 
    print("msg from client:", msg)    
    filename = client_ip   + "_" +  str(date.today())  + ".log"
    with open(filename,"a+",encoding = "utf-8") as f:
        f.write( msg + "\n") 

2. 先编写一个发送syslog的客户端程序，测试服务器端是否正常运行。

import socket
from datetime import datetime
udp = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
print(socket.AF_INET, socket.SOCK_DGRAM)
now = str(datetime.today())[:19]
ack_msg= now + " hello,udp client "  
addr = ("192.168.8.95",514) 
udp.sendto(ack_msg.encode("utf8"),addr)

3. 在交换机上配置将日志发送到syslog 服务器。

infor-center localhost 192.168.2.1

这时发现syslog服务器是可以接收到消息的，但在vscode中点击文件时，提示

使用vscode的内置编辑器强行打开后，发现每行记录后面都带有一个null字样的。

让程序输出接收到的upd消息，发现rec_msg是一个bytes类型，且最后带有\x00的字样。

b"<134>Aug 17 10:25:57 2022 ACCSW-2.11 %%10SHELL/6/SHELL_CMD: -Line=vty5-IPAddr=192.168.8.68-User=thomas; Command is dis cur\x00"

所以在前面的程序中，将\x00从右侧去除，保存的文本就正常了。

4. 配置linux服务器发送syslog日志到服务器

linux 的大部分发行版内置了rsyslog服务，修改/etc/rsyslog.conf文件，将

module(load="imudp") # needs to be done just once
input(type="imudp" port="514")

这两行的注释去掉，让其启用。

然后在末尾添加

*.emerg,*.alert,*.crit,*.err,*.warning,*.notice,*.info,*.debug @192.168.2.1

然后重启rsyslog 服务。systemctl restart rsyslog

5. 这时在服务器上就可以看到日志了。

到此这篇关于python实现syslog服务器的文章就介绍到这了,更多相关pythonsyslog服务器内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

关键词： 服务器上 服务器的 希望大家 是否正常 解决方案