centos syslog-ng 配置

   Syslog_ng 作为下一代的系统日志记录工具,兼容syslog,配置更为清晰灵活,采用tcp协议,支持正则消息过滤和多种归档方式。
 

1、环境

Linux主机:CentOS 5.3  ,ip为 192.168.92.1
syslog服务器 :   ,ip为 192.168.92.3
 

2、软件安装

开源版本下载页面 :https://www.balabit.com/network-security/syslog-ng/opensource-logging-system/ ,可以根据你的系统选择相应的版本。
安装方法非常简单,比如syslog-ng-client-3.0.4-1.rhel5.i386.rpm ,使用rpm -ivh syslog-ng-client-3.0.4-1.rhel5.i386.rpm 就安装上了,syslog_NG会移除系统日志记录的服务,然后开启syslog-ng服务。

 

3、 syslog-ng配置

软件默认的安装目录是 /opt/syslog-ng ,配置文件在 /opt/syslog-ng/etc 目录下。
syslog是使用UDP协议使用的目的端口是514,syslog_ng通过TCP传送消息,没有一个标准的端口,当然你也可以设置使用514端口或者别的。
Syslog.conf 用的格式为<设备>.<严重性>.<动作>,Syslog_ng.conf用的格式为 {Source;filter;destination;}。其中的每一个字段必须在syslog_ng.conf 文件中定义。

 

  • 定义将用的远端目的地址   

默认的命名目的地的格式为d_<name>,这不是必须的。在syslog_ng.conf文件中定义的最后一个目的地的后面加入下面的命令行:
destination d_lab { tcp("192.168.92.3" port(514) ) ; };       
 

  • 防火墙配置

linux 主机:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
                     iptables -A OUTPUT -p tcp -d 192.168.92.3 --dport 514 -j ACCEPT                  
        syslog服务器:
iptables -A INPUT -p tcp -s 192.168.92.0/24 --dport 514 -j ACCEPT
 

  •  修改syslog_ng.conf,配置过滤

在过滤器部分里可以定义任何药应用到日志上的过滤器,下面的过滤器将会触发所有的严重性级别从emerg(0)到info(6)的日志消息,基本包括了除 调试外所有的消息。名字以f_开头是通行的做法。定义一个名字为f_no_debug的过滤器。       
filter f_no-debug {level(info..emerg);};

  • 修改syslog_ng.conf,添加log命令行

log { source(s_local);filter(f_no-debug);destination(d_lab);};
这个命令设置信息源为s_local,使用我刚才定义的过滤器f_no-debug和目的地d_lab。
 

  • 重新启动syslog-ng服务

在centos下使用rpm包安装后,使用 命令 service syslog-ng start  就可以启动了

  • 测试

在Linux下可以使用logger来生成测试信息,其格式为 logger  -p facility.severity message ,示例:
logger  -p cron.emerg test message here
 

你可能感兴趣的:(centos,职场,休闲,centos系统,syslog-ng配置)