Rsyslog收集应用日志

Posted 2020-11-29 poov

收集系统其它服务日志，在客户端node1 上操作，示例以openstack-nova 服务的日志为例：

1.先修改配置文件 /etc/rsyslog.conf，完整内容如下：

[root@node1 ~]# egrep -v ‘^#|^$‘ /etc/rsyslog.conf
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$ModLoad immark # provides --MARK-- message capability
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none @@192.168.30.67
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
module(load="imfile" PollingInterval="5")
$InputFileName /var/log/nova/nova-compute.log
$InputFileTag nova-info:
$InputFileStateFile state-nova-info
$InputRunFileMonitor

 

其实只添加了后5行的内容，对每项简单解释下

module(load="imfile" PollingInterval="5")　　　　　　　　加载imfile 模块，并5秒刷新一次
$InputFileName /var/log/nova/nova-compute.log　　　　 要监控的日志文件路径　
$InputFileTag nova-info:　　　　　　　　　　　　　　　　 定义文件标签 ，注意最后是冒号：
$InputFileStateFile state-nova-info　　　　　　　　　　　 定义状态文件
$InputRunFileMonitor　　　　　　　　　　　　　　　　　　激活读取，可以设置多组日志读取，每组结束时设置本参数　　　　　　　　　　　　　

 

2.修改完成后，重启客户端的rsyslog服务

[root@node1 ~]# systemctl restart rsyslog

 

3 验证，在rsyslog服务器上查看日志，如下图