一、日志中的四个W
When:事件何时发生
Where:日志在哪里产生
Who:哪些程序触发了这条日志
What:发生了什么事件
二、一个简单的日志收集拓扑
网络设备、服务器通过syslog的协议将日志传送到日志服务器上,日志服务器定时地将日志归档,储存到后端存储设备上。
常用的日志管理程序为rsyslog和syslog-ng,这两个日志管理程序都支持下面三种日志传输方式:
UDP传输:应用最广泛的日志传输方式,性能开销小,但是传输缺乏可靠性。
TCP传输:确保日志传输的可靠性,但是性能开销大于UDP方式。
TLS加密传输:确保日志传输的可靠性与安全性。
三、rsyslog
在CentOS 6中,rsyslog作为系统默认的日志管理程序,版本为5.8.10,官网可下载最新的8.34.0版本。
A、rsyslog服务端配置
1、配置rsyslog传输协议、存储位置、端口
[[email protected] ~]#vim /etc/rsyslog.conf
$ModLoad imudp #打开UDP端口
$UDPServerRun 514
$ModLoad imtcp #打开TCP端口
$InputTCPServerRun 514
2、重启rsyslog服务并查看服务状态
[[email protected] ~]/etc/init.d/rsyslog restart
3、配置日志存储路径、格式
在/etc/rsyslog.conf加上如下行
4、配置日志规则
注释掉默认规则,将$template Centrallog 应用在这条规则
5、再次重启rsyslog服务,此时服务端已配置完毕。
B、rsyslog客户端配置
1、配置传输方式:/etc/rsyslog.conf
#UDP的方式:
* . *@remote host:514
#TCP的方式:
*.*@@remote host:514 #remote host 可以是IP或Name
2、重启rsyslog服务
3、测试并在服务端查看相应的log文件
[[email protected] ~]logger "hello"
[[email protected] ~]cat /var/log/central/Centos/root.log #服务端上
Apr 24 23:33:14 CentOS root: hello
原文地址:http://blog.51cto.com/gdutcxh/2107985