日志信息一般存在本机,但是如果被管理主机数量较大,使用日志服务器更有利于日志收集和集中管理,而且回溯性更强。下面简单介绍下在rhel7.0里的日志服务器部署:
1、修改客户端配置文件/etc/rsyslog.conf
在rules下面增加一行:
local7.debug @10.41.5.239
这里的10.41.5.239为日志服务器的地址
2、配置服务器端配置文件/etc/rsyslog.conf
将注释掉的模块打开,修改结果如下所示:
#Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
#Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
打开上面两个模块,意为允许接收客户端发来的日志
然后,配置rules
为了对不同的客户机在服务器端指定不同的日志文件,我们需要在服务器端都添加如下配置:
:fromhost,isequal,"bogon" /var/log/238
:fromhost,isequal,"bogon" ~
意为将从主机名bogon机器过来的日志,放在后面指定的这个路径下。其中带~的那一行为新加的一行,目的就是从远端主机传过来的日志在写入238文件之后,将结束,不在继续写到messages这个文件中
3、修改服务器端的hosts 文件,因为bogon是谁,服务器并不知道。在/etc/hosts文件中添加:
10.41.5.238 bogon
3、完成以上两个配置之后,分别将服务重启以生效配置
systemctl restart rsyslog
4.然后将防火墙放开:
firewall-cmd --set-default-zone=trusted
5、模拟日志进行测试
logger -p local7.debug 55555
6.此时查看服务器端是否有名为238的日志信息产生
经查,文件存在,且内容为:
Apr 3 13:58:39 bogon root: 55555