rsyslog 系统日志转发
Posted y_zilong
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了rsyslog 系统日志转发相关的知识,希望对你有一定的参考价值。
1、存储端服务器
vim /etc/rsyslog.conf
#开启udp,tcp和udp 可以共存的
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
#允许30.0网段内的主机以tcp协议来传输
#$AllowedSender tcp, 192.168.30.0/24
#定义模板,接受日志文件路径,区分了不同主机的日志
$template Remote,"/data/syslogbak/%$YEAR%-%$MONTH%-%$DAY%/aspire-%rawmsg:F,32:1%-%fromhost-ip%.log"
# 排除本地主机IP日志记录,只记录远程主机日志
# 注意此规则需要在其它规则之前,否则配置没有意义,远程主机的日志也会记录到Server的日志文件中
& ~ # 忽略之前所有的日志,远程主机日志记录完之后不再继续往下记录
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
& ~
#重启
systemctl restart rsyslog
#创建日志目录,尽量选择系统内比较大的区域创建,因为考虑到要存放很多服务器的日志文件
mkdir -pv /data/syslogbak2、客户端服务器
#打标签
echo '$template own_template,"biaoqianming %syslogtag% %rawmsg% \\n"' >> /etc/rsyslog.conf
#迁移的主机
echo '*.* @@192.168.30.142:514;own_template' >> /etc/rsyslog.conf
#保存日志的期限,4周改为保存180天
sed -i 's/rotate 4/rotate 26/' /etc/logrotate.conf
#重启
#centos6
/etc/init.d/rsyslog restart
#centos7
systemctl restart rsyslog
#测试udp网络
#四层
nc -vuz 192.168.30.142 514
#七层
nc -uvvn 192.168.30.142 514以上是关于rsyslog 系统日志转发的主要内容,如果未能解决你的问题,请参考以下文章
rsyslog转发nginx日志(rsyslog发送到logstashh)