如何搭建rsyslog日志服务器

发布时间:2021-11-18 17:04:51 作者:小新
来源:亿速云 阅读:261

小编给大家分享一下如何搭建rsyslog日志服务器,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!

环境配置

centos7系统 client1:192.168.91.17

centos7系统 master:192.168.91.18

rsyslog客户端配置

1、rsyslog安装

yum install rsyslog

2、启用UDP进行传输

vim /etc/rsyslog.conf

# Provides UDP syslog reception     #若启用UDP进行传输,则取消下面两行的注释
$ModLoad imudp
$UDPServerRun 514# Provides TCP syslog reception     #若启用TCP进行传输,则取消下面两行的注释
#$ModLoad imtcp
#$InputTCPServerRun 514*.*    @192.168.28.149:514          #若启用TCP传输则使用@@,若是UDP则使用@

3、重启rsyslog服务

systemctl restart rsyslog

rsyslog服务端配置

1、启用UDP/TCP进行传输

vim /etc/rsyslog.conf
# Provides UDP syslog reception     #若启用UDP进行传输,则取消下面两行的注释
$ModLoad imudp
$UDPServerRun 514

 # Provides TCP syslog reception     #若启用TCP进行传输,则取消下面两行的注释
#$ModLoad imtcp
#$InputTCPServerRun 514

2、重启rsyslog服务

systemctl restart rsyslog

测试服务是否能够将客户端的系统日志传回服务端

1、在服务端不间断输出系统日志文件

tailf /var/log/messages

第二:在客户端使用logger生成测试日志信息(并查看服务器端输出,判断是否通过网络将日志收集到了)

logger "rsyslog test"

Rsyslog搭建中心日志服务器

默认配置下,接收到的日志写入服务端对应的日志文件里,如:如果涉及到了secure日志的记录,就会写到服务器端的/var/log/secure里面,也就是客户端自己写一份然后再往服务器端写一份。

如何搭建rsyslog日志服务器

我们通过下面三个问题,对服务端日志配置进行优化。

优化问题 1:从客户端发送过来的日志,在主机位置显示自己的主机名,本地查看还是可以的,如果都汇聚到一个服务器了,如何去判断此条消息是哪个服务器发过来的呢,显然要以IP的形式更好一点,下面来设置一下。

需要在服务器端修改日志模板配置:

#### GLOBAL DIRECTIVES ####
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"$ActionFileDefaultTemplate myFormat

重启rsyslog服务后,通过IP形式展示:

优化问题 2:服务端接收的日志过于分散,是否可疑将日志存放到一个指定的目录里面,进行日志分类存储。

打开/etc/rsyslog.conf文件,启用UDP协议,尽量避免修改主配置文件,我们在/etc/rsyslog.d/中新建default.conf,追加如下模板:

#### GLOBAL DIRECTIVES ####

# Use default timestamp format  # 使用自定义的格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"$ActionFileDefaultTemplate myFormat     

# 根据客户端的IP单独存放主机日志在不同目录,rsyslog需要手动创建
$template RemoteLogs,"/var/log/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"# 排除本地主机IP日志记录,只记录远程主机日志
:fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs
# 忽略之前所有的日志,远程主机日志记录完之后不再继续往下记录& ~

通过使用自定义格式,将不同客户端IP的日志单独存放在不同目录。

如何搭建rsyslog日志服务器

优化问题 3:

rsyslog写日志自定义,比如/data/rsyslog 目录权限没有问题,但是日志无法正常输出?

只需要关闭SELinux即可实现日志文件路径写入的问题。

临时关闭SELinux
setenforce 0永久关闭
vi /etc/selinux/config
改成
SELINUX=disable

以上是“如何搭建rsyslog日志服务器”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!

推荐阅读:
  1. 日志管理-rsyslog
  2. syslog和rsyslog有什么不同?

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

rsyslog 服务器

上一篇:怎么使用MySQL profile

下一篇:怎么搭建MHA+MySQL

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》