nginx配置log转发到日审设备

两种方法

一、nginx在1.12版本包括之后可直接在nginx.conf配置syslog转发日志

（配置完之后需要重启nginx服务,此情况适用于业务部署期间，确保业务出现波动也不会造成影响） 适用于项目测试部署期间

二、直接syslog抓取nginx日志进行转发

（配置完后需要重启rsyslog服务，如果是web主机需要在尽量不动业务的情况下，尽量使用这一种方法） 适用于服务器提供者或者托管场景

1.nginx支持在nginx.conf配置syslog转发

这里参考 Linux服务器和Nginx配置syslog转发 - 吉小僧 - 博客园

// 将access_log记录到服务器本地文件
access_log  /var/log/nginx/access.log main;
// 新增将access_log输出到syslog server
access_log syslog:server=111.1.1.1日审IP,facility=,tag=nginx,severity=info;
 
//将error_log记录到服务器本地文件
error_log   /var/log/nginx//error.log warn;
// 新增将error_log输出到syslog server
error_log syslog:server=111.1.1.1日审IP,facility=local7,tag=nginx,severity=warn;
 
//重启nginx服务
# systemctl restart nginx.service

2.syslog配置转发nginx的log

这段引用

详细参数：​​​​​​手工配置rsyslog配置文件详解 - arun_yh - 博客园

毁尸灭迹！一次服务器被入侵的血泪教训 - 简书

ng配置：

超强干货！通过filebeat、logstash、rsyslog 几种方式采集 nginx 日志_民工哥博客的技术博客_51CTO博客

创建一个 mkdir -v -p /var/spool/rsyslog 用作传输队列缓存

为保证原来的syslog配置不产生变动，这里给他引入新的配置文件（有点类似于httpd的conf和conf.d的关系，不过这里并不能做到自动读取，需要在rsyslog.conf中声明引入外部配置文件）

vi /etc/rsyslog.conf 

$IncludeConfig /etc/rsyslog.d/*.conf 
#在配置中插入这段，其中后段外部配置文件路径可以根据自己喜好配置

vi /etc/rsyslog.d/nginx-log.conf 
#在rsyslog.d下面创建外挂配置文件


$ModLoad imfile                                 #装载imfile模块
$InputFilePollInterval 1                        #检查日志文件间隔（秒）
$WorkDirectory /var/spool/rsyslog               #这个目录进行缓存等临时存储
##Nginx访问日志文件路径，根据实际情况修改:
$InputFileName /usr/local/nginx/logs/access.log #日志读取目录
$InputFileTag nginx-access:                     #日志标签
$InputFileStateFile stat-nginx-access
$InputFileSeverity info                         #获取日志等级
$InputFilePersistStateInterval 25000            
$InputRunFileMonitor                            #镜像监控

##Nginx错误日志文件路径，根据实际情况修改:
$InputFileName /usr/local/nginx/logs/error.log
$InputFileTag nginx-error:
$InputFileStateFile stat-nginx-error
$InputFileSeverity error
$InputFilePersistStateInterval 25000
$InputRunFileMonitor

*.* @xxx.x.x.x:514                              #日审IP端口,其中@@代表TCP @代表UDP 一般用UDP居多

systemctl restart rsylog

重启rsyslog服务