搭建rsyslog日志服务器

环境配置

centos7系统 client1：192.168.91.17

centos7系统 master：192.168.91.18

rsyslog客户端配置

1、rsyslog安装

yum install rsyslog

2、启用UDP进行传输

vim /etc/rsyslog.conf
?
# Provides UDP syslog reception     #若启用UDP进行传输，则取消下面两行的注释
$ModLoad imudp
$UDPServerRun 514
?
# Provides TCP syslog reception     #若启用TCP进行传输，则取消下面两行的注释
#$ModLoad imtcp
#$InputTCPServerRun 514
?
*.*    @192.168.28.149:514          #若启用TCP传输则使用@@，若是UDP则使用@

3、重启rsyslog服务

systemctl restart rsyslog

rsyslog服务端配置

1、启用UDP/TCP进行传输

vim /etc/rsyslog.conf
# Provides UDP syslog reception     #若启用UDP进行传输，则取消下面两行的注释
$ModLoad imudp
$UDPServerRun 514
?

# Provides TCP syslog reception     #若启用TCP进行传输，则取消下面两行的注释
#$ModLoad imtcp
#$InputTCPServerRun 514

2、重启rsyslog服务

systemctl restart rsyslog

测试服务是否能够将客户端的系统日志传回服务端

1、在服务端不间断输出系统日志文件

tailf /var/log/messages

第二：在客户端使用logger生成测试日志信息（并查看服务器端输出，判断是否通过网络将日志收集到了）

logger "rsyslog test"

Rsyslog搭建中心日志服务器

默认配置下，接收到的日志写入服务端对应的日志文件里，如：如果涉及到了secure日志的记录，就会写到服务器端的/var/log/secure里面，也就是客户端自己写一份然后再往服务器端写一份。

我们通过下面三个问题，对服务端日志配置进行优化。

优化问题 1：从客户端发送过来的日志，在主机位置显示自己的主机名，本地查看还是可以的，如果都汇聚到一个服务器了，如何去判断此条消息是哪个服务器发过来的呢，显然要以IP的形式更好一点，下面来设置一下。

需要在服务器端修改日志模板配置：

#### GLOBAL DIRECTIVES ####
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate myFormat

重启rsyslog服务后，通过IP形式展示：

优化问题 2：服务端接收的日志过于分散，是否可疑将日志存放到一个指定的目录里面，进行日志分类存储。

打开/etc/rsyslog.conf文件，启用UDP协议，尽量避免修改主配置文件，我们在/etc/rsyslog.d/中新建default.conf，追加如下模板：

#### GLOBAL DIRECTIVES ####
?
# Use default timestamp format  # 使用自定义的格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate myFormat
?
# 根据客户端的IP单独存放主机日志在不同目录，rsyslog需要手动创建
$template RemoteLogs,"/var/log/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
# 排除本地主机IP日志记录，只记录远程主机日志
:fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs
# 忽略之前所有的日志，远程主机日志记录完之后不再继续往下记录
& ~

通过使用自定义格式，将不同客户端IP的日志单独存放在不同目录。

优化问题 3：

rsyslog写日志自定义，比如/data/rsyslog 目录权限没有问题，但是日志无法正常输出？

只需要关闭SELinux即可实现日志文件路径写入的问题。

临时关闭SELinux
setenforce 0
?
永久关闭
vi /etc/selinux/config
改成
SELINUX=disable

原文地址：https://www.cnblogs.com/xiaozi/p/11794813.html

时间： 2024-09-30 16:38:52

搭建rsyslog日志服务器的相关文章

centos7+rsyslog+loganalyzer+mysql 搭建rsyslog日志服务器

一.简介在centos7系统中,默认的日志系统是rsyslog,它是一类unix系统上使用的开源工具,用于在ip网络中转发日志信息,rsyslog采用模块化设计,是syslog的替代品. 1.rsyslog特点实现了基本的syslog协议直接兼容syslogd的syslog.conf配置文件在同一台机器上支持多个rsyslogd进程,支持多线程丰富的过滤功能,可以实现过滤日志信息中的任何部分,可将消息过滤后在转发灵活的配置选项,配置文件中可以写简单的逻辑判断,自定义输出格式等增加了

RHEL 6.x 搭建rsyslog日志服务器和loganalyzer日志分析工具

3.算法综合实践——搜索引擎上网搜索有关“搜索引擎”的相关资料,包括但不限于以下方面(至少要有2个方面):搜索引擎岗位要求.搜索引擎工作原理.搜索引擎涉及到教材中哪些算法.搜索引擎的盈利模式.搜索引擎源码链接.国内外搜索引擎公司现状等. <1>搜索引擎指自动从因特网搜集信息,经过一定整理以后,提供给用户进行查询的系统.因特网上的信息浩瀚万千,而且毫无秩序,所有的信息像汪洋上的一个个小岛,网页链接是这些小岛之间纵横交错的桥梁,而搜索引擎,则为用户绘制一幅一目了然的信息地图,供用户随时查阅.

rsyslog日志服务器设置

一.server端 1.vim /etc/rsyslog.conf--------------------------------------编辑日志系统接收配置文件 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514 -----------------------------------------------------------开启接TCP通信端口514 2.vim /etc/rsyslog.d/ne

Rsyslog日志服务器搭建、loganalyzer安装使用

公司使用CactiEz做为网络监控平台,可以实时监控网络设备及出口流量外加邮件报警,虽然有一个延迟但基本够用. 除此之外,还需要一个日志服务器.因为设备比较多,设备如果断电重启,问题排除还需借助日志. 华为交换机端配置如下: info-center source default channel 2 log level warning #日志级别,设置为warning警告最为合适 info-center loghost source Vlanif1101 # 源vlan info-center l

RHEL6.4 搭建 rsyslog 日志服务 rsyslog+mysql+loganalyzer

软件提供的功能: 1.rsyslog是RHEL或centos系统6.x版本的日志服务,代替以前系统的syslog服务.在这个架构中rsyslog服务主要是收集日志的功能,把日志归类,写入数据库. 2.mysql是简单的数据库,在这个架构中主要任务是存放收集过来的日志信息,以便提供给loganalyzer软件来显示出来. 3.loganalyzer是一个日志分析工具,比较简单.在这个架构中主要是从mysql数据库中提取数据依条形和图形直观的显示出来,提供筛选.搜索.归类.统计等功能. 4.evts

阿里云上搭建Graylog日志服务器的几个注意事项

1.故障现象因项目需要,需要配置集中的日志服务器,本来打算上ELK,但后面申请的资源太少,改用更轻量级的日志服务器Graylog,关于Graylog的介绍以及安装部署我就不在这里写了,参考官方文档:http://docs.graylog.org/en/2.4/pages/installation/os/centos.html 在阿里云服务器上部署完毕,输入用户名和密码,出现如下报错: 2.分析过程因为之前在本地测试环境搭建成功后,操作基本一致,但阿里云上就是报错,检查安全组策略和SLB的转发

日志管理-rsyslog日志服务器及loganalyzer

一,日志基础日志:记录时间,地点,任务,事件格式:日期时间主机进程[pid]: 事件内容 rsyslog 特性: 多线程,UDP, TCP, SSL, TLS, RELP,MySQL, PGSQL, Oracle实现日志存储强大的过滤器,可实现过滤记录日志信息中任意部分,自定义输出格式日志分类:facility(不同类存放于不同文件) auth, authpriv, cron, daemon,ftp,kern, lpr, mail, news, security(auth), use

Linux通过Rsyslog搭建集中日志服务器

(一)Rsyslog简介ryslog 是一个快速处理收集系统日志的程序,提供了高性能.安全功能和模块化设计.rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地.rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息.rsyslog守护进程可以被配置成两种环境,一种是配置成日志收集服务器,rsyslog进程可以从网络中收集其它主机上的日志数据,这些主机会将日志配置为发送到另外的远程服务器.rsyslog的另外一个用法,就是可以配

CentOS 6.5+Syslog-ng+LogZilla搭建中央日志服务器

分类: 开源技术概述 syslog-ng是基于syslog协议的Unix和类Unix系统的开源软件.它基于原来syslogd的模型,扩展了富的过滤功能,灵活的配置选项,添加了重要的功能,如使用TCP进行传输系统日志. logzilla 是一个 syslog 和其他网络事件数据的 Web 前端工具,提供简单易用的日志浏览.搜索和基本分析以及图表显示. 本文环境为CENTOS 6.5平台部署SYSLOG-NG+LOGZILLA,其中logzilla 2.99o为最后一免费版本. 环境要求 CENT