rsyslog系统日志转发
2017-03-30 16:09
369 查看
ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地,据官网介绍,现在可以处理100万条信息。
特性:1.多线程
2.支持加密协议:ssl,tls,relp
3.mysql、oracle、postgreSQL
4.等等..
在日志接受端部署:
安装rsyslog 程序(rsyslog默认已经在各发行版安装,如果系统中没有的话,可以用yum 进行安装,如下:)
#yum install rsyslog -y
编辑rsyslog配置文件,路径 /etc/rsyslog.conf,修改前最好先备份一份,修改后的文件内容如下
#grep -v "^#" /etc/rsyslog.conf | grep -v "^$"
这是开启udp和tcp协议并监听514端口
$AllowedSender tcp, 10.4.0.0/16 允许网段内的主机以tcp协议来传输
$template Remote,"/data/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%.log" 定义模板,接受日志文件路径,区分了不同主机的日志(日期也可以定义为%$YEAR%-%$MONTH%-%$DAY%年月日)
:fromhost-ip, !isequal, "127.0.0.1" ?Remote 过滤server 本机的日志。
#mkdir -pv /data/log
创建日志存放的目录,建议选择分区比较大的位置
#service rsyslog restart
重启rsyslog服务
#netstat -aulntp | grep rsyslog
监听tcp和udp的514端口
在日志发送端操作:
打开配置文件,先备份下在进行修改 /etc/rsyslog.conf,修改完记得要重启程序
#grep -v "^$" /etc/rsyslog.conf | grep -v "^#"
如果验证失败的话,先检查selinux 是否关闭。后将udp 514 端口和tcp 514端口在iptables内放行即可,或者关闭iptables 服务。该操作在每台机器上进行。
特性:1.多线程
2.支持加密协议:ssl,tls,relp
3.mysql、oracle、postgreSQL
4.等等..
在日志接受端部署:
安装rsyslog 程序(rsyslog默认已经在各发行版安装,如果系统中没有的话,可以用yum 进行安装,如下:)
#yum install rsyslog -y
编辑rsyslog配置文件,路径 /etc/rsyslog.conf,修改前最好先备份一份,修改后的文件内容如下
#grep -v "^#" /etc/rsyslog.conf | grep -v "^$"
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad immark # provides --MARK-- message capability $ModLoad imudp $UDPServerRun 514 $ModLoad imtcp $InputTCPServerRun 514 $WorkDirectory /var/lib/rsyslog $AllowedSender tcp, 10.4.0.0/16 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $template Remote,"/data/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%.log" :fromhost-ip, !isequal, "127.0.0.1" ?Remote $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on *.info;mail.none;authpriv.none;cron.none /data/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log
这是开启udp和tcp协议并监听514端口
$AllowedSender tcp, 10.4.0.0/16 允许网段内的主机以tcp协议来传输
$template Remote,"/data/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%.log" 定义模板,接受日志文件路径,区分了不同主机的日志(日期也可以定义为%$YEAR%-%$MONTH%-%$DAY%年月日)
:fromhost-ip, !isequal, "127.0.0.1" ?Remote 过滤server 本机的日志。
#mkdir -pv /data/log
创建日志存放的目录,建议选择分区比较大的位置
#service rsyslog restart
重启rsyslog服务
#netstat -aulntp | grep rsyslog
监听tcp和udp的514端口
在日志发送端操作:
打开配置文件,先备份下在进行修改 /etc/rsyslog.conf,修改完记得要重启程序
#grep -v "^$" /etc/rsyslog.conf | grep -v "^#"
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $WorkDirectory /var/lib/rsyslog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $template myFormat,"%timestamp% %fromhost-ip% %msg%\n" $ActionFileDefaultTemplate myFormat $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on *.info;mail.none;authpriv.none;cron.none @@10.4.66.122 authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log /var/log/boot.log在服务器上进到 /data/log 目录下,进行查看,会发现以下类似的文件
如果验证失败的话,先检查selinux 是否关闭。后将udp 514 端口和tcp 514端口在iptables内放行即可,或者关闭iptables 服务。该操作在每台机器上进行。
相关文章推荐
- 服务器(9)--Linux之系统日志rsyslog转发
- Linux 之 rsyslog 系统日志转发
- Linux 之 rsyslog 系统日志转发
- Linux 之 rsyslog 系统日志转发(转载)
- Linux 之 rsyslog 系统日志转发
- rsyslog+loganalyzer 非常强大的日志系统
- linux系统下基于rsyslog构建日志服务器
- rsyslog日志系统浅析
- logstash结合rsyslog,收集系统日志
- RPM方式搭建的LAMP+rsyslog+loganalyzer以实现集中式日志管理系统
- centos linux系统日常管理3 服务管理ntsysv,chkconfig,系统日志rsyslog,last ,lastb ,exec,xargs,dmesg,screen,nohup,curl,ping ,telnet,traceroute ,dig ,nc 第十六节课
- 整合LAMP+loganalyzer+rsyslog搭建企业级集中式日志管理系统
- Rsyslog日志收集系统
- rsyslog 收集系统日志
- rsyslog 收集系统日志
- 日志系统搭建(nginx+php+mysql+rsyslog+LogAnalyzer)
- 简单讲历史命令写入系统日志,将rsyslog日志写入数据库并使用loganlyzer分析
- linux系统日志及其rsyslog服务
- Centos 6.5 ----日志系统Rsyslog
- 利用Rsyslog集中收集系统日志和用户操作记录以及相关处理方法