您好,登录后才能下订单哦!
小编给大家分享一下如何搭建rsyslog日志服务器,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!
环境配置
centos7系统 client1:192.168.91.17
centos7系统 master:192.168.91.18
rsyslog客户端配置
1、rsyslog安装
yum install rsyslog
2、启用UDP进行传输
vim /etc/rsyslog.conf # Provides UDP syslog reception #若启用UDP进行传输,则取消下面两行的注释 $ModLoad imudp $UDPServerRun 514# Provides TCP syslog reception #若启用TCP进行传输,则取消下面两行的注释 #$ModLoad imtcp #$InputTCPServerRun 514*.* @192.168.28.149:514 #若启用TCP传输则使用@@,若是UDP则使用@
3、重启rsyslog服务
systemctl restart rsyslog
rsyslog服务端配置
1、启用UDP/TCP进行传输
vim /etc/rsyslog.conf # Provides UDP syslog reception #若启用UDP进行传输,则取消下面两行的注释 $ModLoad imudp $UDPServerRun 514 # Provides TCP syslog reception #若启用TCP进行传输,则取消下面两行的注释 #$ModLoad imtcp #$InputTCPServerRun 514
2、重启rsyslog服务
systemctl restart rsyslog
测试服务是否能够将客户端的系统日志传回服务端
1、在服务端不间断输出系统日志文件
tailf /var/log/messages
第二:在客户端使用logger生成测试日志信息(并查看服务器端输出,判断是否通过网络将日志收集到了)
logger "rsyslog test"
Rsyslog搭建中心日志服务器
默认配置下,接收到的日志写入服务端对应的日志文件里,如:如果涉及到了secure日志的记录,就会写到服务器端的/var/log/secure里面,也就是客户端自己写一份然后再往服务器端写一份。
我们通过下面三个问题,对服务端日志配置进行优化。
优化问题 1:从客户端发送过来的日志,在主机位置显示自己的主机名,本地查看还是可以的,如果都汇聚到一个服务器了,如何去判断此条消息是哪个服务器发过来的呢,显然要以IP的形式更好一点,下面来设置一下。
需要在服务器端修改日志模板配置:
#### GLOBAL DIRECTIVES #### $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"$ActionFileDefaultTemplate myFormat
重启rsyslog服务后,通过IP形式展示:
优化问题 2:服务端接收的日志过于分散,是否可疑将日志存放到一个指定的目录里面,进行日志分类存储。
打开/etc/rsyslog.conf文件,启用UDP协议,尽量避免修改主配置文件,我们在/etc/rsyslog.d/
中新建default.conf,追加如下模板:
#### GLOBAL DIRECTIVES #### # Use default timestamp format # 使用自定义的格式 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"$ActionFileDefaultTemplate myFormat # 根据客户端的IP单独存放主机日志在不同目录,rsyslog需要手动创建 $template RemoteLogs,"/var/log/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"# 排除本地主机IP日志记录,只记录远程主机日志 :fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs # 忽略之前所有的日志,远程主机日志记录完之后不再继续往下记录& ~
通过使用自定义格式,将不同客户端IP的日志单独存放在不同目录。
优化问题 3:
rsyslog写日志自定义,比如/data/rsyslog 目录权限没有问题,但是日志无法正常输出?
只需要关闭SELinux即可实现日志文件路径写入的问题。
临时关闭SELinux setenforce 0永久关闭 vi /etc/selinux/config 改成 SELINUX=disable
以上是“如何搭建rsyslog日志服务器”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。