rsyslog：本地日誌&日誌服務器

rsyslog：本地日誌&日誌服務器

環境：CentOS Linux release 7.1.1503 (Core)

安裝

步驟

• 檢查是否已安裝

rpm -qa | grep rsyslog，如果已安裝則可跳過後面的步驟.

[root@localhost ~]# rpm -qa | grep rsyslog
rsyslog-7.4.7-7.el7_0.x86_64 #說明已安裝

• 搜索合適的版本：yum search rsyslog
• 安裝合適的版本：例如：yum install rsyslog.x86_64

配置文件

位置：/etc/rsyslog.conf

本地日誌-寫入本地文件

rsyslog默認是將日誌存儲在本地，所以不需要修改配置文件。

測試

根據配置文件中*.info;mail.none;authpriv.none;cron.none /var/log/messages可以知道info級別的日誌存儲在/var/log/messages.

1. 開個shell執行命令tail -f /var/log/messages,關注是否有日誌
2. 在另外一個shell中執行logger -p info "hello, local rsyslog"
3. 可以在tail的shell中看到以下的輸出，，則說明已成功

[root@localhost ~]# tail -f /var/log/messages
Jan  5 10:47:30 localhost root: hello, local rsyslog

rsyslog日誌服務器-日誌寫入遠端rsyslog服務器

環境：

需要2個，一個做server，1個做client。

Client端配置

• 配置文件/etc/rsyslog.conf的最後一行：*.* @@remote-hos:514.該配置默認是註釋掉的，可以直接取消註釋。並將remote-host修改爲自己的服務器地址，如果有需要端口號也可以修改
• 配置文件/etc/rsyslog.conf中註釋掉如下兩行

*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure

• 重啓rsyslog：service rsyslog restart

Server端配置

• 編輯配置文件/etc/rsyslog.conf：取消TCP、UDP連接的註釋，修改成如下

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCP

• 重啓rsyslog：service rsyslog restart

測試

1. server端開個shell執行命令tail -f /var/log/messages,關注是否有日誌
2. client端執行命令logger -p info "hello, remote rsyslog
3. server端執行命令logger -p info "hello, local rsyslog
4. 可以看到如下輸出， 則說明已成功：

[root@localhost ~]# tail -f /var/log/messages
Jan  5 10:58:20 localhost root: hello, remote rsyslog
Jan  5 10:58:25 localhost root: hello, local rsyslog