rsyslog:本地日誌&日誌伺服器
阿新 • • 發佈:2019-02-18
rsyslog:本地日誌&日誌伺服器
環境:CentOS Linux release 7.1.1503 (Core)
安裝
步驟
- 檢查是否已安裝
rpm -qa | grep rsyslog
,如果已安裝則可跳過後面的步驟.
[root@localhost ~]# rpm -qa | grep rsyslog
rsyslog-7.4.7-7.el7_0.x86_64 #說明已安裝
- 搜尋合適的版本:
yum search rsyslog
- 安裝合適的版本:例如:
yum install rsyslog.x86_64
配置檔案
位置:/etc/rsyslog.conf
本地日誌-寫入本地檔案
rsyslog預設是將日誌儲存在本地,所以不需要修改配置檔案。
測試
根據配置檔案中*.info;mail.none;authpriv.none;cron.none /var/log/messages
可以知道info級別的日誌儲存在/var/log/messages.
- 開個shell執行命令
tail -f /var/log/messages
,關注是否有日誌 - 在另外一個shell中執行
logger -p info "hello, local rsyslog"
- 可以在tail的shell中看到以下的輸出,,則說明已成功
[root@localhost ~]# tail -f /var/log/messages
Jan 5 10:47:30 localhost root: hello, local rsyslog
rsyslog日誌伺服器-日誌寫入遠端rsyslog伺服器
環境:
需要2個,一個做server,1個做client。
Client端配置
- 配置檔案/etc/rsyslog.conf的最後一行:
*.* @@remote-hos:514
.該配置預設是註釋掉的,可以直接取消註釋。並將remote-host
修改為自己的伺服器地址,如果有需要埠號也可以修改 - 配置檔案/etc/rsyslog.conf中註釋掉如下兩行
*.info;mail. none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
- 重啟rsyslog:
service rsyslog restart
Server端配置
- 編輯配置檔案/etc/rsyslog.conf:取消TCP、UDP連線的註釋,修改成如下
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCP
- 重啟rsyslog:
service rsyslog restart
測試
- server端開個shell執行命令
tail -f /var/log/messages
,關注是否有日誌 - client端執行命令
logger -p info "hello, remote rsyslog
- server端執行命令
logger -p info "hello, local rsyslog
- 可以看到如下輸出, 則說明已成功:
[root@localhost ~]# tail -f /var/log/messages
Jan 5 10:58:20 localhost root: hello, remote rsyslog
Jan 5 10:58:25 localhost root: hello, local rsyslog