6分钟

任务 2 搭建集中式日志服务器

任务目的

通过修改 Linux 上 Rsyslog 的配置实现集中式日志服务器,将 Linux 实例的日志转发到日志服务器上,从而可以在日志服务器上查看其它 Linux 服务器的日志文件。

任务步骤

1.修改 Rsyslog 配置

以 root 用户身份远程登录 Linux 实例“Rsyslog”,执行以下命令,打开并编辑该 Linux 实例的日志配置文件。

vim /etc/rsyslog.conf

按下i键,将以下内容添加到“rsyslog.conf”文件末尾“end of the forwarding rule”上面,然后按下Esc键,输入:wq后按下回车键保存并退出。

#@@表示使用TCP方式
*.* @@<Rsyslog2内网IP>:514
转发配置

执行以下命令重启 Rsyslog。

systemctl restart rsyslog

以 root 用户身份远程登录 Linux 实例“Rsyslog2”,执行以下命令,修改该 Linux 实例的配置,将其作为日志服务器。

vim /etc/rsyslog.conf

按下i键,将以下内容添加到“rsyslog.conf”文件中,添加位置在“MODULES”后,“GLOBAL DIRECTIVES”前。按下Esc键,输入:wq后按下回车键保存并退出。

#TCP方式 使用514端口
$ModLoad imtcp
$InputTCPServerRun 514
#将采集的文件存放到/data目录下,按照'年-月-日'/'IP'分类
$template RemoteHost,"/data/%$YEAR%-%$MONTH%-%$DAY%/%FROMHOST-IP%.log"
*.*  ?RemoteHost
& ~
接收配置

执行以下命令重启 Rsyslog。

systemctl restart rsyslog

2.实验验证

以 root 用户身份远程登录 Linux 实例“Rsyslog2”,执行以下命令查看“Rsyslog”实例转发到“Rsyslog2”实例的日志。

cat /data/'年-月-日'/'Rsyslog2内网IP'
查看日志

执行命令后有输出结果说明日志服务器搭建成功。