Linux部署配置远程日志服务

需求描述

把客户端的日志信息统一收集到远端服务器，用于分析或者存档。

适用版本

Redhat EL6 ，Redhat EL7。

结构简介

一服务端对多客服端，服务端为每个客户端单独生成日志文件。

所需工具

服务器端及客户端都使用同一个工具 rsyslog，用rpm -qa | grep rsyslog 指令检查包是否被安装，如果没有安装，可用yum install rsyslog进行安装。

同样，客户端与服务器端的配置，也是对同一个配置文件/etc/rsyslog.conf进行编辑。

服务器端配置

任意编辑器编辑文件/etc/rsyslog.conf 文件，注释及新增后的内容如下（没变更的内容不再贴出）：

$ModLoad immark  # provides --MARK-- message capability $ModLoad imudp $UDPServerRun 514 $ModLoad imtcp $InputTCPServerRun 514 $AllowedSender udp,172.16.98.0/24 $template RemoteHost,"/data/syslog/%$YEAR%-%$MONTH%-%$DAY%/%FROMHOST-IP%.log"   :fromhost-ip, !isequal, "127.0.0.1"  ?RemoteHost

说明：

• $AllowedSender udp,172.16.98.0/24，允许172.16.98.0/24网段的主机用udp协议链接到服务器。
• $template RemoteHost,"/data/syslog/%$YEAR%-%$MONTH%-%$DAY%/%FROMHOST-IP%.log"   ，定义远端生成日志的格式，时间-客户端ip地址.log，形如：/data/syslog/2019-06-15/172.16.98.38.log。
• :fromhost-ip, !isequal, "127.0.0.1"  ?RemoteHost ，不把服务端本机的日志记录到上一行设定的目录。

服务端启动

• 创建目录/data/syslog或者你想创建的。
• 执行service rsyslog restart.

Rsyslog服务验证

• RedHat EL6：执行指令 netstat -anp|grep 514 ,有输出即可初步为正常。
• RedHat EL7：执行指令  ss –ltu ,根据输出检查是否正常。

客户端配置

为更方便理解，这里以两个客户端为例，一個客户端把ssh登录日志传输到服务器端，另一个客户端把自定义日志传输到服务器端。

实例1：把ssh访问日志记录到日志服务器端。

修改文件 /etc/rsyslog.conf,使文本行为：“authpriv.*  @172.16.98.39:514“，修改完成执行service rsyslog restart。

实例2：把自定义日志记录到日志服务器端。

修改文件/etc/rsyslog.conf，增加一行“local3.*  @172.16.98.39:514“,保存修改，然后执行命令service rsyslog restart重启服务。

总体效果检验

登录日志服务器系统，进入配置制定的路径，查看是否有目录及相应的文件生成。

• 用ssh登录欲传输日志到服务器的系统，胡乱输入用户名及密码，或者正确输入用户名及密码。再回到日志服务器定义的日志目录，查看文件是否有记录生成。

• 登录自定义服务器，检查其相关的服务是否正常；然后再转登日志服务器，查看其日志是否进行写入：

                                                  撰写：田逸