(注意:hadoop集群是启动的)
1、syslog配置文件/etc/rsyslog.conf
(1)打开以下注释以udp方式传输
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
(2)、此处配置不使用默认格式,是为了让header显示优先级
# Use default timestamp format
#$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$ActionFileDefaultTemplate RSYSLOG_SyslogProtocol23Format
$template TraditionalFormatWithPRI,"<%syslogpriority%>%syslogseverity% %timegenerated% %HOSTNAM E% %syslogtag%%msg:::drop-last-lf%\n"
日志优先级及时间格式优化版(显示本土化时间格式,便于分析):(此处配置不使用默认格式,并让header直接显示优先级code,无需计算,生成的日志格式如:<6> 2015-11-02 15:21:03 huc1 systemd: Stopping System Logging Service...)
2、flume配置(先后启动z4,z5节点flume,监控z5节点用户的操作产生的syslog,流转到z4,最终流向hdfs)
产生的event如:
产生的syslog消息日志格式如:<43>Sep 29 15:06:28 z5 rsyslogd: Name or service not known
其中“<43>”是PRI部分,“Sep 29 15:06:28 z5 ”是HEADER部分,“rsyslogd: Name or service not known”是MSG部分。
43 二进制:101011,前面代表Facility,后三位011代表Severity, 十进制为3, 即Severity优先级是3,对应Error;具体优先级如下表:
PRI部分由尖括号包含的一个数字构成,这个数字包含了程序模块(Facility)、严重性(Severity),这个数字是由Facility乘以 8,然后加上Severity得来
具体的linux syslog介绍参考文档:http://www.cnblogs.com/skyofbitbit/p/3674664.html