ubuntu 10.04下搭建rsyslog Server实现简单管理存储远程主机日志

原创作品，允许转载，转载时请务必以超链接形式标明文章   原始出处  、作者信息和本声明。否则将追究法律责任。 http://linuxme.blog.51cto.com/1850814/950051

 1.服务器端

 #apt-get update

 #apt-get install rsyslog

 

 修改配置文件

 #vim /etc/rsyslog.conf        =====去掉下面三行前面的#号注释符

 $ModLoad immark  

 $ModLoad imudp

 $UDPServerRun 514

 保存退出

 

 #vim /etc/default/rsyslog

 #修改如下

 RSYSLOGD_OPTIONS=”-c5 -r -x”

 保存退出

 

 重启rsyslog

 #/etc/init.d/rsyslog restart

 

 查看其是否启动

 #netstat -nultp | grep 514

 好了，这样rsyslog就能够接收远程主机日志了。

 我们这里简单的试验一下，如下

 

 2. 客服端（远程主机，系统是ubuntu 10.04，其他linux系统一样）

 #apt-get update

 #apt-get install rsyslog

 

 修改配置文件

 #vim /etc/rsyslog.conf

 *.* @ip  #ip为rsyslog server的ip

说明：第一个*号字段为什么服务如：mail、kernel、ftpd等，这里的*号代表所有服务

            第二个*号字段为记录相应服务的日志级别如info、warn、err等，这里*号代表说有级别

            即所有服务的说有日志都会发送到10.48.255.244这台主机上

注意：如果server端开启的是tcp的514端口，上面就应该这样写：*.*    @@rsyslog-server-ip

 

 重启rsyslog 即可

 #/etc/init.d/rsyslog restart

 

  3.根椐客服端的配置我们将接收的日志保存的rsyslog server本地硬盘上

 修改配置文件

 #vim /etc/rsyslog.d/50-default.conf

 #增加

 *.* /var/log/remotehost.log

 

 新建保存日志文件

 #touch /var/log/remotehost.log

 

 重启rsyslog server

 #/etc/init.d/rsyslog restart

 

 4.验证

 在 rsyslog server端,用tail动态查看

 #tail -f /var/log/remotehost.log

 

 在客服端（远程主机）新增加一个用户，你将会看到tail -f /var/log/remotehost.log 会有相关增加用户的日志输出