1. vim /etc/rsyslog.conf 去掉下面4行前面的#号注释符. (开启tcp和udp接受)
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
$template Remote,"/var/log/attack-syslog/%hostname%_%fromhost-ip%/log_%$YEAR%-%$MONTH%-%$DAY%.log" #定义模板,接受日志文件路径,区分了不同主机的日志
:fromhost-ip, !isequal, "127.0.0.1" ?Remote # 过滤server 本机的日志
保存退出
2. vim /etc/default/rsyslog. (-r 允许接受外来日志消息. -x 禁用掉dns记录项不够齐全或其他的日志中心的日志)
RSYSLOGD_OPTIONS=”-c5 -r -x”
保存退出
3. 重启rsyslog
service rsyslog restart
4. 查看其是否启动
netstat -nultp | grep 514
5. 验证
在 rsyslog server端,用tail动态查看
tail -f /var/log/host/'hostname'_'ip'/log_'y'_'m'_'d'.log