Linux的日志服务rsyslog（定向采集+远程同步）

rsyslog日志管理：

/var/log/messages 服务信息日志
/var/log/secure 系统登陆日志
/var/log/cron 定时任务日志
/var/log/maillog 邮件日志
/var/log/boot.log 系统启动日志

日志类型：

auth           ##pam产生的日志
authpriv       ##ssh,ftp等登陆信息的验证信息
cron           ##时间任务相关
kern           ##内核
lpr            ##打印
mail           ##邮件
mark(syslog)-rsyslog  ##服务内部的信息，时间标识
news           ##新闻组
user           ##用户程序产生的相关信息
uucp           ##unix to unix copy ,unix主机之间的通讯
local 1～7      ##自定义的日志设备

日志级别：

debug          ##有调试信息的，日志信息最多
info           ##一般信息的日志，最常用
notice	       ##最具有重要性的普通条件的信息
warning        ##警告级别
err  	       ##错误级别，阻止某个功能或者模块不能正常工作
crit           ##严重级别，阻止整个系统或者整个软件不能正常工作
alert	       ##需要立刻修改的信息
emerg	       ##内核崩溃等严重信息
none	       ##什么都不记录

##注意：从上到下，级别从低到高，记录的信息越来越少。
##信息的日志信息可以man产看：man 3 syslog

---

$定向采集：$

目的：把系统中所有日志采集到/var/log/rizhi文件中

步骤：
vim /etc/rsyslog.conf   ###【编辑日志配置文件】
*.*	/var/log/rizhi      ###【更改日志收集的目录】
systemctl restart rsyslog  ###【重起日志服务】

测试 ：
systemctl restart sshd   ###【重起服务，此命令目的为了生成日志】
cat /var/log/rizhi      ###【查看此文件中出现的日志信息】

1.编辑日志配置文件，更改日志收集到的目录。

2.重起rsyslog日志服务和sshd服务，cat检测更改结果：

定向采集完成。

---

$远程同步：$

发送方：

vim /etc/rsyslog.conf`         ###【编辑日志设定】
*.*     @接受方ip`              ###“@”表示udp协议发送，“@@”表示tcp协议发送 
systemctl restart rsyslog`     ###【重起rsyslog日志服务】
 > /var/log/messages`          ###【>重定向输出，清空原日志文件内容】
 > cat /var/log/messages`      ###【查看确认日志已经清空】

接收方：

【编辑日志设定】  vim /etc/rsyslog.conf     
【日志接受模块】15行左右，将“#”去掉。$ModLoad imudp          
【开启接受端口】16行左右，将“#”去掉。$UDPServerRun 514      
【重起rsyslog服务】 systemctl restart rsyslog    
【关闭火墙】 systemctl stop firewalld    
【设定火墙开机关闭不开启】systemctl disable firewalld 
【清空 /etc/rc.d/rc.local 】 > /etc/rc.d/rc.local 
【重起接收方】 reboot                       
【>重定向输出，清空原日志文件内容】  > /var/log/messages       
【查看确认日志已经清空】cat /var/log/messages      

测试

在发送方：logger test                  ###生成日志
在接收方：cat /var/log/messages        ###查看日志是否生成

图示：

1.发送方：


2.接收方：

reboot：

3.测试

成功！

---

总结一下远程同步：

服务端：
1.服务器上需要完成的只有指定要同步的日志内容和要同步到的客户端
2.重起服务
3.清空日志原由内容

客户端：
1.客户端上需要开启UDP或者TCP其中一个协议，根据服务端的选择来进行开启。
2.然后更改火墙设置，要么在火墙上允许服务器ip的数据流传输，要么开启端口或者对应服务。不过我们这里采用直接关闭火墙查看效果。在实际应用中并不可取。
3.重起服务
4.清空日志原有内容
reboot重起通常是重新加载内核设定，我们在服务端更改完设定后既然没有reboot，那么在客户端更改完后是不是也不需要reboot重起？这里暂时还留有一点疑问。在后续学习中希望会得到解答。

---

                                       大大的小小阳