1、syslog服务端搭建
修改/etc/rsyslog.conf文件,本次采集目标为UDP修改下面的配置
输入Linux命令:sudo vim /etc/rsyslog.conf
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
找到以上两个模块,去掉前面注释, :wq 保存退出。
额外配置:在配置文件开头定义内容输出格式作为模板myFormat
$template myFormat,"%PRI-TEXT% %HOSTNAME%\n"
template(name="remote_syslog" type="string" string="/opt/rsyslog_center/%HOSTNAME%/%HOSTNAME%.log")
若想使用模板则需要配置为*.* ?remote_syslog;myFormat,前面?remote_syslog表示将内容输出到remote_syslog模板指定要求一般是将日志输出到指定文件。后面的myFormat则是控制输出的日志文件中的格式。
格式分为:
①消息配置
②系统配置
③与时间相关的系统配置
服务端具体配置文件如下:
需要配置/etc/sysconfig/rsyslog
输入Linux命令:vim /etc/sysconfig/rsyslog 配置下面参数
SYSLOGD_OPTIONS="-r514 -m 0"
-r:表示允许接收外来日志消息,后面可以加接受端口号
-m **:将默认的时间戳标记信息出现频率变为自己指定的值【eg: -m240,表示每240分钟在日志文件中增加一行时间戳消息】;
-x:表示不希望让中央日志服务器解析其他机器的FQDN(完全合格域名,指的是主机名+全路径);
2、重启rsyslog服务
输入Linux命令:sudo systemctl restart rsyslog.service
3、关闭防火墙(iptables)
编辑防火墙配置文件
systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #禁止firewall开机启动
4、禁用SELinux
要永久禁用SELinux,请使用您最喜欢的文本编辑器打开/etc/sysconfig/selinux文件,如下所示:
输入Linux命令:sudo vim /etc/sysconfig/selinux
然后将配置SELinux=enforcing改为SELinux=disabled,如下所示。
SELINUX=disabled
然后,保存并退出文件,为了使配置生效。需要重新启动系统,然后使用sestatus命令检查SELinux的状态,如下所示:
输入指令查看:sestatus
5、查看服务启动是否成功
输入Linux命令:netstat -antup |grep 514
udp 0 0 0.0.0.0:514 0.0.0.0:* 17527/rsyslogd
udp6 0 0 :::514 :::* 17527/rsyslogd
6、syslog客户端搭建
修改/etc/rsyslog.conf文件。
在客户端输入Linux命令:sudo vim /etc/rsyslog.conf(一个@表示UDP,二个@@表示TCP)
*.* @服务器主机IP:514
在配置文件末尾插入一行,添加以上内容,:wq 保存退出
7、重启rsyslog服务
在客户端输入Linux命令:sudo systemctl restart rsyslog.service
8、客户端重启sshd服务
在客户端输入Linux命令:sudo systemctl restart sshd
9、服务端开启日志查询
输入Linux命令:tailf /var/log/messages
客户端配置如下:
在服务端的/opt/rsyslog_center/下查看是否有新的日志产生。若获取到信息,则表明服务端可以接收到客户端发送的日志,表示日志采集服务器搭建成功!
致语:SYSLOG、syslog、Syslog、sYslog、sySlog、sysLog、syslOg、sysloG
- 海报