linux开启Rsyslog服务收集日志

一、查看是否安装了rsyslog服务

[[email protected]1 ~]# yum install -y rsyslog
已加载插件：fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
base                                                                                                               | 3.6 kB  00:00:00
dell-system-update_dependent                                                                                       | 2.3 kB  00:00:00
dell-system-update_independent                                                                                     | 2.3 kB  00:00:00
extras                                                                                                             | 3.4 kB  00:00:00
updates                                                                                                            | 3.4 kB  00:00:00
软件包 rsyslog-8.24.0-34.el7.x86_64 已安装并且是最新版本
无须任何处理
[[email protected]-1 ~]#

二、配置rsyslog.conf文件

[[email protected]1 ~]# vim /etc/rsyslog.conf

将"#### MODULES ####"下面的

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

注释打开，启用udp.tcp协议，监听514端口

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

在下面加上接收日志的存放目录和文件命名规则

#将所有从远程客户端接受到的消息写入指定目录下以它们的IP地址命名和日期命名的的文件中
$template RemoteLogs,"/var/log/devicelog/%$YEAR%-%$MONTH%/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
*.* ?RemoteLogs
& ~

将远端收集的日志存放到/var/log/devicelog/下，并创建年月目录，在下面创建每个IP主机的目录，在里面创建每天命名的日志文件

保存，退出，重启rsyslog服务

[[email protected]1 ~]# systemctl restart rsyslog
[[email protected]-1 ~]#

此时查看/var/log/devicelog/目录

[[email protected]1 log]# cd devicelog/
[[email protected]-1 devicelog]# ll
总用量 0
drwx------ 4 root root 43 7月  10 13:42 2019-07
[[email protected]-1 devicelog]# cd 2019-07/
[[email protected]-1 2019-07]# ll
总用量 0
drwx------ 2 root root 38 7月  10 13:40 127.0.0.1
[[email protected]-1 2019-07]# cd 127.0.0.1/
[[email protected]-1 127.0.0.1]# ll
总用量 20
-rw------- 1 root root 17279 7月  10 13:51 127.0.0.1_2019-07-10.log

下面多了创建的目录和相应的本机日志文件，说明配置成功。

三、配置需要收集的主机客户端rsyslog.conf文件

[[email protected] ~]# vim /etc/rsyslog.conf

在#### RULES ####规则下，添加 *.* @172.28.18.69

表示所有的日志都发送到172.28.18.69这台主机上，也就是上面我们所配置的rsyslog服务器地址，保存退出重启rssyslog服务

#### RULES ####
 47
 48 # Log all kernel messages to the console.
 49 # Logging much else clutters up the screen.
 50 #kern.*                                                 /dev/console
 51 *.*                                                     @172.28.18.69

[[email protected] ~]# systemctl restart rsyslog
[[email protected] ~]#

我们重启下客户端主机的firewalld服务

[email protected] ~]# systemctl restart firewalld
[[email protected] ~]#

此时，去172.28.18.69主机上查看/var/log/devicelog/2019-07目录下

[[email protected]1 2019-07]# ll
总用量 0
drwx------ 2 root root 38 7月  10 13:40 127.0.0.1
drwx------ 2 root root 41 7月  10 13:42 172.28.18.71
[[email protected]-1 2019-07]# cd 172.28.18.71/
[[email protected]-1 172.28.18.71]# ls
172.28.18.71_2019-07-10.log

多了一个我们配置的这台客户端172.28.18.71主机的日志文件，至此rsyslog服务器配置成功

原文地址：https://www.cnblogs.com/sky-cheng/p/11163603.html

时间： 2024-10-08 22:06:44

linux开启Rsyslog服务收集日志的相关文章

Linux通过Rsyslog搭建集中日志服务器

(一)Rsyslog简介ryslog 是一个快速处理收集系统日志的程序,提供了高性能.安全功能和模块化设计.rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地.rsyslog是一个开源工具,被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息.rsyslog守护进程可以被配置成两种环境,一种是配置成日志收集服务器,rsyslog进程可以从网络中收集其它主机上的日志数据,这些主机会将日志配置为发送到另外的远程服务器.rsyslog的另外一个用法,就是可以配

linux开启ssh服务

1.ubuntu发行版安装/开启ssh服务 1.1 安装ssh服务端 sudo apt-get install openssh-server 1.2 开启ssh服务 sudo /etc/init.d/ssh start 1.3 查看ssh服务端是否启动了 ps -e | grep ssh 555 ? 00:00:00 sshd 1.4 ssh服务进程(sshd)已经开启后就可以进行连接了.(假设开启ssh服务的机器IP为192.168.1.1) ssh [email protected]192.

使用rsyslog+loganalzey收集日志显示客户端ip

http://www.ituring.com.cn/article/128536 rsyslog localhost 转发 http://bigsec.net/one/tool/rsyslog.html https://wiki.archlinux.org/index.php/Rsyslog http://blog.sematext.com/2013/07/01/recipe-rsyslog-elasticsearch-kibana/ http://skyou.blog.51cto.com/29

linux开启telnet服务

步骤: sudo apt-get install xinetd telnetd 安装成功后,系统会显示有相应得提示 sudo vim /etc/inetd.conf 并加入内容: telnet stream tcp nowait telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd 输入sudo vim /etc/xinetd.conf并加入内容: # Simple configuration file for xinetd # Some defau

Linux开启vsftpd服务文件删除的解决办法

[背景] 一个朋友项目上用FTP服务进行文件的上传.下载,但是无法删除. [问题跟踪] 用FTP客户端工具连接后,发现也是无法删除. [解决办法] 查看cat /etc/vsftpd.config文件发现: local_umask=022 将这个值改成: local_umask=002 重启vsftp服务后(service vsftpdrestart)正常.

SuSE Linux 开启VNC服务

一.启动VNC服务输入命令 vncserver 一.编辑启动脚步 vi /root/.vnc/xstartup 把twm &注释改为#twm & 然后再最下面增加2行startgnome &DISPLAY=:1 gnome-session &就是启动gnome图形界面窗口三.重启VNC服务vncserver -kill :1 (注意:1.不是service vncserver restart 2.kill后面是空格) (另外注意:kill的是啥?在/

Kali Linux开启ssh服务设置自启

几天没写水一些今天遇到的问题 0x01 配置SSH参数修改sshd_config文件,命令为: vi /etc/ssh/sshd_config 将#PasswordAuthentication no的注释去掉,并且将NO修改为YES //kali中默认是yes 将PermitRootLogin without-password修改为 PermitRootLogin yes 然后,保存,退出vim. 0x02 启动SSH服务命令为: /etc/init.d/ssh start 或者 serv

Linux下VNC服务使用

在Window下通过VNC连接Linux Linux开启VNC服务: service vncserver start 执行" vncserver "命令,注意执行此命令的身份,如果是ROOT,则会在root下面生成 .vnc/ 目录,生成 log pid 和xstartup文件否则在用户目录下生成.第一次会提示远程连接的密码. 注意开启的远程桌面的编号,使用VNC Viewer连接时用 "IP:编号"的形式,然后输入密码.VNC默认的桌面环境是 twm 修改xst

centos6.5 x86_64下搭建rsyslog服务

用centos6.5 系统自带的rsyslog服务建立日志服务器一.搭建前的准备工作安装lnmp(可选) 配置好网络服务(DNS和NTP),有助于提高日志记录工作的精确性. yum install -y ntp service ntpd start /usr/sbin/ntpdate asia.pool.ntp.org hwclock –systohc 二.日志服务器安装 # yum -y install rsyslog rsyslog-mysql 配置 # vi /etc/rsyslog