CentOS7下搭建Rsyslog Server记录远程主机系统日志
CentOS7下搭建Rsyslog Server记录远程主机系统日志
yuanfan2012
发布于 2020-08-25 10:43:01
发布于 2020-08-25 10:43:01
rsyslog是一个快速处理收集系统日志的开源程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地, rsyslog被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。
rsyslog守护进程可以被配置成两种环境,一种是配置成日志收集服务器,rsyslog进程可以从网络中收集其它主机上的日志数据,这些主机会将日志配置为发送到另外的远程服务器。rsyslog的另外一个用法,就是可以配置为客户端,用来过滤和发送内部日志消息到本地文件夹(如/var/log)或一台可以路由到的远程rsyslog服务器上
根据下面的拓扑图,搭建Rsyslog Server记录远程主机系统日志
1、Rsyslog Server服务器 192.168.31.80
2、Rsyslog Client主机 192.168.31.151
实现Client主机通过rsyslog发送自身的系统日志到Rsyslog Server服务器,服务器端将该主机系统日志存放到一个指定的目录里面,进行按IP和日志简单分类存储
一、rsyslog服务器端配置
CentOS7系统默认安装了rsyslog服务
cp /etc/rsyslog.conf /etc/rsyslog.conf_default
vi /etc/rsyslog.conf1)取消如下两行的注释,开启UDP 514接收配置
$ModLoad imudp
$UDPServerRun 514
2)在$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat这一行添加如下配置
# This one is the template to generate the log filename dynamically, depending on the client's IP address.
# 根据客户端的IP单独存放主机日志在不同目录,设置远程日志存放路径及文件名格式
$template Remote,"/var/log/syslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
# Log all messages to the dynamically formed file.
# 排除本地主机IP日志记录,只记录远程主机日志
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
# 注意此规则需要在其它规则之前,否则配置没有意义,远程主机的日志也会记录到Server的日志文件中
# 忽略之前所有的日志,远程主机日志记录完之后不再继续往下记录
& ~
3)重启rsyslog服务
systemctl restart rsyslog
二、rsyslog客户端配置
1)取消如下五行的注释
$ActionQueueFileName fwdRule1
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
2)最后一行添加*.* @rsyslog服务器IP
*.* @192.168.31.80
3)重启rsyslog服务
systemctl restart rsyslog
三、在服务器端验证效果
cd /var/log/syslog/
cd 192.168.31.151/
tail -f 192.168.31.151_2020-08-23.log
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-08-24,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录