All Products
Search

This Product

    Simple Log Service:Kumpulkan syslogs Linux

    Document Center

    Simple Log Service:Kumpulkan syslogs Linux

    Last Updated:Jul 06, 2025

    Topik ini menjelaskan cara membuat konfigurasi Logtail di konsol Simple Log Service untuk mengumpulkan syslogs.

    Implementasi

    Prinsip Implementasi

    Server Linux memungkinkan Anda menggunakan agen syslog seperti rsyslog untuk meneruskan syslogs lokal ke server dengan alamat IP dan port tertentu. Logtail mendengarkan alamat IP dan port tersebut, menerima syslogs yang diteruskan melalui TCP atau UDP, lalu mengurai syslogs sesuai protokol syslog tertentu dan mengekstrak bidang-bidang seperti fasilitas, tag (program), tingkat keparahan, serta konten dari syslogs.

    Protokol syslog yang didefinisikan dalam RFC 3164 dan RFC 5424 didukung. Untuk informasi lebih lanjut, lihat RFC3164 dan RFC5424.

    Prasyarat

    Prosedur

    Dalam topik ini, syslogs dikumpulkan dari Instance ECS Elastic Compute Service (ECS).

    1. Masuk ke konsol Simple Log Service.

    2. Dalam kotak dialog Import Data, pilih opsi Custom Data Plug-in.image

    3. Pilih proyek dan penyimpanan log, lalu klik Next.

    4. Buat grup mesin.

      • Jika grup mesin tersedia, klik Use Existing Machine Groups.

      • Jika tidak ada grup mesin yang tersedia, ikuti langkah-langkah berikut untuk membuat grup mesin. Dalam contoh ini, Instance ECS Elastic Compute Service (ECS) digunakan.

        1. Pada tab ECS Instances, pilih Pilih Instance Secara Manual. Lalu, pilih instance ECS yang ingin digunakan dan klik Create.

          Untuk informasi lebih lanjut, lihat Instal Logtail pada Instance ECS.

          Penting

          Jika server Anda adalah Instance ECS yang dimiliki oleh akun Alibaba Cloud yang berbeda dari Simple Log Service, server di pusat data, atau server dari penyedia layanan cloud pihak ketiga, Anda harus menginstal Logtail secara manual di server tersebut. Untuk informasi lebih lanjut, lihat Instal Logtail pada Server Linux atau Instal Logtail pada Server Windows. Setelah Anda menginstal Logtail secara manual, Anda harus mengonfigurasi pengenal pengguna untuk server tersebut. Untuk informasi lebih lanjut, lihat Konfigurasikan pengenal pengguna.

        2. Setelah Anda mengonfirmasi pengaturan, klik OK.

        3. Setelah Logtail diinstal, klik Complete Installation.

        4. Dalam langkah Create Machine Group, konfigurasikan parameter Name dan klik Next.

          Simple Log Service memungkinkan Anda membuat grup mesin berbasis alamat IP dan grup mesin berbasis pengenal kustom. Untuk informasi lebih lanjut, lihat Buat grup mesin berbasis alamat IP dan Buat grup mesin berbasis pengenal kustom.

    5. Konfirmasikan bahwa grup mesin ditampilkan di bagian Applied Server Groups dan klik Next.

      Penting

      Jika Anda menerapkan grup mesin segera setelah membuat grup mesin, status detak jantung grup mesin mungkin FAIL. Masalah ini terjadi karena grup mesin belum terhubung ke Simple Log Service. Untuk menyelesaikan masalah ini, Anda dapat mengklik Automatic Retry. Jika masalah tetap ada, lihat Apa yang harus saya lakukan jika tidak ada koneksi detak jantung yang terdeteksi pada Logtail?.

    6. Dalam langkah Configure Data Source dari wizard Impor Data, konfigurasikan parameter Configuration Name, salin dan tempel skrip konfigurasi berikut ke bidang Plug-in Configuration, lalu klik Next.

      {
     "inputs": [
         {
             "type": "service_syslog",
             "detail": {
                 "Address": "tcp://0.0.0.0:9000",
                 "ParseProtocol": "rfc3164"
             }
         },
         {
             "type": "service_syslog",
             "detail": {
                 "Address": "udp://0.0.0.0:9001",
                 "ParseProtocol": "rfc3164"
             }
         }
     ]
 }

      Tabel berikut menjelaskan parameter dalam skrip konfigurasi.

      Parameter

      Tipe

      Diperlukan

      Deskripsi

      type

      string

      Ya

      Tipe sumber data. Nilainya tetap sebagai service_syslog.

      Address

      string

      Tidak

      Protokol pendengar, alamat IP, dan port Logtail. Logtail mendengarkan sumber log dan mendapatkan log berdasarkan konfigurasi Logtail Anda. Nilainya dalam format [tcp/udp]://[ip]:[port]. Nilai default: tcp://127.0.0.1:9999, yang menunjukkan bahwa Logtail hanya menerima log yang diteruskan ke server Logtail.

      Catatan

      • Protokol pendengar, alamat IP, dan port yang Anda tentukan dalam konfigurasi Logtail Anda harus sama dengan yang ditentukan dalam aturan pengalihan yang ditambahkan ke file konfigurasi rsyslog.

      • Jika server tempat Logtail diinstal menggunakan beberapa alamat IP untuk menerima log, atur Address ke 0.0.0.0, yang menunjukkan bahwa Logtail mendengarkan semua alamat IP server.

      ParseProtocol

      string

      Tidak

      Protokol yang ingin Anda gunakan Logtail untuk mengurai log. Parameter ini kosong secara default, yang menunjukkan bahwa log tidak diurai. Nilai valid:

      • Kosong: Logtail tidak mengurai syslogs.

      • rfc3164: Protokol RFC 3164 digunakan untuk mengurai log.

      • rfc5424: Protokol RFC 5424 digunakan untuk mengurai log.

      • auto: Logtail secara otomatis memilih protokol berdasarkan isi log.

      IgnoreParseFailure

      boolean

      Tidak

      Menentukan apakah akan melakukan operasi pada log setelah log gagal diurai. Nilai valid: true dan false. Nilai default: true, yang menunjukkan bahwa sistem tidak mengurai log dan menambahkan log ke bidang konten. Jika Anda mengatur parameter ini ke false, sistem membuang log setelah log gagal diurai.

    7. Dalam langkah Query and Analysis Configurations dari wizard Impor Data, klik Automatic Index Generation. Setelah Anda mengonfigurasi pengaturan ini, tidak ada data yang dikumpulkan. Untuk mengumpulkan data, klik Next untuk menyelesaikan konfigurasi Logtail.

    8. Masuk ke instance ECS dari mana Anda ingin mengumpulkan syslogs dan konfigurasikan pengalihan rsyslog.

      1. Ubah file konfigurasi /etc/rsyslog.conf rsyslog pada instance ECS. Tambahkan aturan pengalihan ke akhir file konfigurasi.

        Setelah aturan pengalihan ditambahkan, rsyslog meneruskan syslogs ke alamat IP dan port tertentu.

        • Jika Logtail berada pada instance ECS, tentukan alamat IP 127.0.0.1 dan port yang Anda tentukan dalam konfigurasi Logtail Anda dalam aturan pengalihan.

        • Jika Logtail berada pada server yang berbeda dari instance ECS, tentukan alamat IP publik server dan port yang Anda tentukan dalam konfigurasi Logtail Anda dalam aturan pengalihan.

        Kode sampel berikut memberikan contoh aturan pengalihan, yang memungkinkan semua syslogs diteruskan ke 127.0.0.1:9000 melalui TCP. Untuk informasi lebih lanjut tentang file konfigurasi, lihat Dokumentasi RSyslog.

        *.* @@127.0.0.1:9000

      2. Jalankan perintah berikut untuk memulai ulang rsyslog dan memvalidasi aturan pengalihan:

        sudo service rsyslog restart

    9. Masuk ke konsol Simple Log Service dan tinjau syslogs yang dikumpulkan di penyimpanan log yang ditentukan. Untuk informasi lebih lanjut, lihat Panduan Kueri dan Analisis Log.image

    Deskripsi Bidang Log

    Bidang

    Deskripsi

    _hostname_

    Nama host. Jika nama host tidak termasuk dalam log, nama host host saat ini diperoleh.

    _program_

    Bidang tag dalam protokol syslog.

    _priority_

    Bidang prioritas dalam protokol syslog.

    _facility_

    Bidang fasilitas dalam protokol syslog.

    _severity_

    Bidang tingkat keparahan dalam protokol syslog.

    _unixtimestamp_

    Cap waktu log.

    _content_

    Konten log. Jika log gagal diurai, bidang ini berisi konten log mentah.

    _ip_

    Alamat IP host saat ini.

    _client_ip_

    Alamat IP Logtail yang mentransfer log.

    Contoh

    Kumpulkan Log NGINX

    Server NGINX memungkinkan Anda langsung meneruskan log akses ke alamat IP dan port tertentu dengan menggunakan protokol syslog tertentu. Jika Anda ingin mengirimkan semua data server sebagai syslogs ke Simple Log Service, Anda dapat membuat konfigurasi Logtail untuk mengumpulkan data tersebut, termasuk log akses NGINX.

    1. Buat konfigurasi Logtail. Untuk informasi lebih lanjut, lihat Kumpulkan syslogs Linux.

      Kode sampel berikut memberikan contoh skrip konfigurasi di bidang Plug-in Configuration:

      {
     "inputs": [
         {
             "type": "service_syslog",
             "detail": {
                 "Address": "udp://127.0.0.1:9001",
                 "ParseProtocol": "rfc3164"
             }
         }
     ]
 }

    2. Tambahkan aturan pengalihan untuk NGINX.

      1. Temukan file nginx.conf pada server NGINX dan tambahkan aturan pengalihan ke file tersebut. Untuk informasi lebih lanjut, lihat Panduan Pemula NGINX.

        Kode sampel berikut memberikan contoh aturan pengalihan:

        server {
    ...

    # Tambahkan baris ini.
    access_log syslog:server=127.0.0.1:9001,facility=local7,tag=nginx,severity=info combined;

    ...
}

      2. Jalankan perintah berikut untuk memulai ulang NGINX dan memvalidasi aturan pengalihan:

        sudo service nginx restart

    Kumpulkan log firewall

    Dalam banyak kasus, firewall memungkinkan Anda langsung meneruskan log akses ke alamat IP dan port tertentu dengan menggunakan protokol syslog tertentu. Jika Anda ingin mengirimkan log firewall sebagai syslogs ke Simple Log Service untuk membangun solusi manajemen informasi dan keamanan (SIEM), Anda dapat membuat konfigurasi Logtail untuk mengumpulkan log tersebut.

    1. Buat konfigurasi Logtail. Untuk informasi lebih lanjut, lihat Kumpulkan syslogs Linux.

      Kode sampel berikut memberikan contoh skrip konfigurasi di bidang Plug-in Configuration:

      {
     "inputs": [
         {
             "type": "service_syslog",
             "detail": {
                 "Address": "udp://0.0.0.0:9001",
                 "ParseProtocol": "rfc3164"
             }
         }
     ]
 }

    2. Tambahkan aturan pengalihan untuk firewall berdasarkan manual firewall. Dalam contoh ini, alamat IP server tempat Logtail diinstal adalah 10.20.30.40.image.png

    Pemecahan Masalah

    Jika tidak ada data yang ditampilkan di halaman pratinjau atau halaman kueri setelah log dikumpulkan menggunakan Logtail, Anda dapat menjalankan perintah logger untuk mengirim data ke Logtail lokal. Lalu, Anda dapat memeriksa apakah masalah terjadi karena penulis, jaringan, atau Logtail.

    Jika Logtail lokal dapat menerima data, masalah terjadi karena penulis atau jaringan.

    logger -n localhost -P 9000 -T "Ini adalah pesan syslog TCP"
logger -n localhost -P 9001 -d "Ini adalah pesan syslog UDP"

    Untuk informasi lebih lanjut, lihat Apa yang harus saya lakukan jika terjadi kesalahan saat saya menggunakan Logtail untuk mengumpulkan log?.