rsyslog安装与转发配置详解

一、重装rsyslog
yum reinstall rsyslog
检查 rsyslogd -V

二、配置文件详解

MODULES ####

#提供本地系统日志记录，比如使用logger模拟发送日志
module(load=“imuxsock”)

#提供内核级别的日志记录
module(load=“imklog”)

#提供标记message的能力
#module(load"immark")

Provides UDP syslog reception
#提供UDP的514端口来接收UDP协议发送过来的数据
module(load=“imudp”)
input(type=“imudp” port=“514”)

Provides TCP syslog reception
#提供TCP的514端口来接收TCP协议发送过来的数据
#module(load=“imtcp”)
#input(type=“imtcp” port=“514”)

GLOBAL DIRECTIVES ####

#设置默认的timestamp格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#文件同步功能默认被禁止了，一般情况下不需要这种功能
#$ActionFileEnableSync on

Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf

RULES ####

#记录所有的kernel日志到console.
#kern.* /dev/console

#记录所有事件日志级别大于info的日志到/var/log/message，但是mail、authpriv、cron的日志除外
*.info;mail.none;authpriv.none;cron.none /var/log/messages

#authpriv相关的日志存放到/var/log/secure
authpriv.* /var/log/secure

#邮件相关的日志存放到/var/log/maillog
mail.* /var/log/maillog

#定时任务的日志存放到/var/log/cron
cron.* /var/log/cron

#所有级别大于emerg的信息，每个人都会看到
.emerg :omusrmsg:

#在一个特殊的文件里面保存crit或者级别更高的uucp日志
uucp,news.crit /var/log/spooler

#记录启动信息到/var/log/boot.log
local7.* /var/log/boot.log

#所有日志发送到远程rsyslog服务器，@表示UDP协议，@@表示TCP协议
. @172.16.20.193:514

**
三、日志类型(连接符号)日志级别 日志处理方式**






#查找日志中出现的test标签的日志存到/etc/log/my.log :rawmsg,contains,“test” /etc/log/my.log
#查找日志中出现的test标签的日志转发到服务端 :rawmsg,contains,“test” @@192.168.56.89:514
#将全部日志转发到服务端 . @@192.168.56.88:514

跨ip转发要确定防火墙端口打开

msg 匹配message中的msg部分
rawmsg 从socket收到的信息，一般用来debug
rawmsg-after-pri 和rawmsg类似，但是syslog PRI被移除了
hostname message的主机名
source HOSTNAME的别名
fromhost message来源的主机名，一般是用在relay chain中
fromhost-ip 同fromhost，不过获取的是ip
syslogtag message的tag
programname 是tag的静态部分，例如tag是named[123456]，则programname是named
pri message的PRI，undecoded格式
pri-text text格式的PRI
syslogfacility the facility from the message - in numerical form
syslogfacility-text the facility from the message - in text form
syslogseverity severity from the message - in numerical form
syslogseverity-text severity from the message - in text form
timegenerated timestamp when the message was RECEIVED. message被本地syslog接收到的时间
timereported timestamp from the message，包含message被创建的时间
timestamp alias for timereported

$bom The UTF-8 encoded Unicode byte-order mask (BOM)
$myhostname The name of the current host as it knows itself

$now 当前日期，格式YYYY-MM-DD,now是指当前message被处理的时间
$year 当前年份(4-digit)
$month 当前月份(2-digit)
$day 当前日期(2-digit)
$hour 当前小时(24 hour) time (2-digit)
$hhour From minute 0 to 29, this is always 0 while from 30 to 59 it is always 1.
$minute 当前分钟(2-digit)