linux 启动rsyslog服务_linux开启Rsyslog服务收集日志

一、查看是否安装了rsyslog服务

[root@server-1 ~]# yum install -y rsyslog

已加载插件：fastestmirror

Loading mirror speedsfromcached hostfile* base: mirrors.aliyun.com*extras: mirrors.aliyun.com*updates: mirrors.aliyun.combase | 3.6 kB 00:00:00dell-system-update_dependent | 2.3 kB 00:00:00dell-system-update_independent | 2.3 kB 00:00:00extras| 3.4 kB 00:00:00updates| 3.4 kB 00:00:00软件包 rsyslog-8.24.0-34.el7.x86_64 已安装并且是最新版本

无须任何处理

[root@server-1 ~]#

二、配置rsyslog.conf文件

[root@server-1 ~]# vim /etc/rsyslog.conf

将"#### MODULES ####"下面的

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

注释打开，启用udp.tcp协议，监听514端口

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun514# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun514

在下面加上接收日志的存放目录和文件命名规则

#将所有从远程客户端接受到的消息写入指定目录下以它们的IP地址命名和日期命名的的文件中

$template RemoteLogs,"/var/log/devicelog/%$YEAR%-%$MONTH%/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"

*.* ?RemoteLogs& ~

将远端收集的日志存放到/var/log/devicelog/下，并创建年月目录，在下面创建每个IP主机的目录，在里面创建每天命名的日志文件

保存，退出，重启rsyslog服务

[root@server-1 ~]# systemctl restart rsyslog

[root@server-1 ~]#

此时查看/var/log/devicelog/目录

[root@server-1 log]# cd devicelog/[root@server-1devicelog]# ll

总用量0drwx------ 4 root root 43 7月 10 13:42 2019-07[root@server-1 devicelog]# cd 2019-07/[root@server-1 2019-07]# ll

总用量0drwx------ 2 root root 38 7月 10 13:40 127.0.0.1[root@server-1 2019-07]# cd 127.0.0.1/[root@server-1 127.0.0.1]# ll

总用量20

-rw------- 1 root root 17279 7月 10 13:51 127.0.0.1_2019-07-10.log

下面多了创建的目录和相应的本机日志文件，说明配置成功。

三、配置需要收集的主机客户端rsyslog.conf文件

[root@localhost ~]# vim /etc/rsyslog.conf

在#### RULES ####规则下，添加  *.*                                                     @172.28.18.69

表示所有的日志都发送到172.28.18.69这台主机上，也就是上面我们所配置的rsyslog服务器地址，保存退出重启rssyslog服务

#### RULES ####47

48# Log all kernel messages to the console.49 # Logging much elseclutters up the screen.50 #kern.* /dev/console51 *.* @172.28.18.69

[root@localhost ~]# systemctl restart rsyslog

[root@localhost~]#

我们重启下客户端主机的firewalld服务

root@localhost ~]# systemctl restart firewalld

[root@localhost~]#

此时，去172.28.18.69主机上查看/var/log/devicelog/2019-07目录下

[root@server-1 2019-07]# ll

总用量0drwx------ 2 root root 38 7月 10 13:40 127.0.0.1drwx------ 2 root root 41 7月 10 13:42 172.28.18.71[root@server-1 2019-07]# cd 172.28.18.71/[root@server-1 172.28.18.71]# ls172.28.18.71_2019-07-10.log

多了一个我们配置的这台客户端172.28.18.71主机的日志文件，至此rsyslog服务器配置成功