搭建日志服务器Rsyslog

Rsyslog介绍

Rsyslog的全称是 rocket-fast system for log，它提供了高性能，高安全功能和模块化设计。rsyslog能够接受从各种各样的来源，将其输入，输出的结果到不同的目的地。rsyslog可以提供超过每秒一百万条消息给目标文件。

特点

• 多线程
• 可以通过许多协议进行传输UDP，TCP，SSL，TLS，RELP；
• 直接将日志写入到数据库;
• 支持加密协议：ssl，tls，relp
• 强大的过滤器，实现过滤日志信息中任何部分的内容
• 自定义输出格式；

Rsyslog搭建

rsyslog-server   10.10.10.61   收集服务器：服务端
rsyslog-client   10.10.10.67   发送服务器：客户端

rsyslog-server搭建-在服务端操作

# 安装rsyslog
[root@rsyslog-server ~]# yum -y install  rsyslog

# 备份配置文件
[root@rsyslog-server ~]# cp /etc/rsyslog.conf{,.bak}

# 修改配置文件
[root@rsyslog-server ~]# vim /etc/rsyslog.conf
# 打开注释
$ModLoad imudp         # 使用udp协议，也可以使用tcp协议
$UDPServerRun 514      # 开启514端口

#### GLOBAL DIRECTIVES ####
# Use default timestamp format  # 使用自定义的格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate myFormat

# 根据客户端的IP单独存放主机日志在不同目录，rsyslog需要手动创建
$template RemoteLogs,"/var/log/rsyslog/%fromhost-ip%/%syslogtag%_%$YEAR%-%$MONTH%-%$DAY%-%$hour%:%$minute%.log"
# 排除本地主机IP日志记录，只记录远程主机日志
:fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs
# 忽略之前所有的日志，远程主机日志记录完之后不再继续往下记录
& ~

# 重启rsyslog服务
[root@rsyslog-server ~]# systemctl restart rsyslog

rsyslog-client-在客户端操作

[root@rsyslog-client ~]# yum install -y rsyslog  httpd 
# 良好的习惯，从备份配置文件开始
[root@rsyslog-client ~]# cp /etc/rsyslog.conf{,.bak}   
# 修改配置文件
[root@rsyslog-client ~]# vim /etc/rsyslog.conf
# 打开注释
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

#设置日志服务器地址
*.* @10.10.10.61:514

开始测试

服务端操作

# 服务端检查日志输出
[root@rsyslog-server ~]# tail /var/log/messages
Apr 27 15:10:25 server systemd: Started Session 5 of user root.
Apr 27 15:10:30 web systemd: Stopping The Apache HTTP Server...
Apr 27 15:10:30 web kernel: xfs filesystem being remounted at /tmp supports timestamps until 2038 (0x7fffffff)
Apr 27 15:10:30 web kernel: xfs filesystem being remounted at /var/tmp supports timestamps until 2038 (0x7fffffff)
Apr 27 15:10:31 web systemd: Stopped The Apache HTTP Server.
Apr 27 15:10:31 web systemd: Starting The Apache HTTP Server...
Apr 27 15:10:31 web kernel: xfs filesystem being remounted at /tmp supports timestamps until 2038 (0x7fffffff)
Apr 27 15:10:31 web kernel: xfs filesystem being remounted at /var/tmp supports timestamps until 2038 (0x7fffffff)
Apr 27 15:10:31 web httpd: AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 10.0.0.14. Set the 'ServerName' directive globally to suppress this message
Apr 27 15:10:31 web systemd: Started The Apache HTTP Server.

客户端操作

# 客户端重启httpd
[root@rsyslog-client ~]# systemctl restart httpd

# 生成示例日志
logger -p "mail.info" "this is test log"

在服务端查看日志目录，发现有67的日志文件