rsyslog教程:配置日志客户端和服务端

最新推荐文章于 2025-07-19 10:09:00 发布
最新推荐文章于 2025-07-19 10:09:00 发布
阅读量3.0k 收藏 9
点赞数
CC 4.0 BY-SA版权
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hmh13548571896/article/details/103388761
本文详细介绍rsyslog在Linux系统中如何配置日志收集、处理及转发。包括客户端与服务器端配置,如Apache日志的监听与发送,以及日志的分类与保存。

简介

rsyslog是Linux系统自带的高性能、高安全性的用来收集、处理日志的程序。rsyslog可以通过TCP/UDP协议转发或接收日志,其可以作为日志服务器接受日志,也可以用作客户端发送日志。

客户端配置

修改 /etc/rsyslog.conf 配置文件:

#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
$ModLoad imjournal # provides access to the systemd journal

:<<!
# 这里服务端需要开启端口坚挺,客户端不需要开启
 # 启用udp模块,默认端口为514 
module(load="imudp")
input(type="imudp" port="514")
#  启用tcp模块
module(load="imtcp")
input(type="imtcp" port="514")
!
# 将日志发送到指定的服务器,例如:
# user.info  @100.100.100.100:514    代表将所有user类型的info级别的日志传输到指定服务器 
# *.* 代表所有类型所有级别的日志, @代表使用udp传输,@@代表tcp传输
# facility.level  @@server_ip:port 

# provides kernel logging support and enable non-kernel klog messages
module(load="imklog" permitnonkernelfacility="on")

###########################
#### GLOBAL DIRECTIVES ####
###########################
#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Filter duplicated messages
$RepeatedMsgReduction on

#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf

监听Apache日志发送到服务器

在/etc/rsyslog.d/ 目录下新建一个 apache_log.conf 配置文件:

# 加载imfile模块
$ModLoad imfile 
$InputFilePollInterval 10

## Apache访问日志文件路径
$InputFileName /var/log/apache2/access.log
# tag 标签,可以作为过滤或分类用
$InputFileTag apache-access
# 状态文件,只需要指定文件名,程序会在工作目录$WorkDirectory下创建指定文件
$InputFileStateFile stat-apache-access
# 日志类型,user代表应用日志
$InputFileFacility user
# 日志级别
$InputFileSeverity info
# 写入状态文件时间间隔
$InputFilePersistStateInterval 25000
## 以上属性可等效写为:input(type="imfile" File="/path" Tag="tag1" StateFile="filename" Severity="info" 
##  Facility="user" PersistStateInterval="25000")

## Apache错误日志文件路径
$InputFileName /var/log/apache2/error.log
$InputFileTag apache-error
$InputFileStateFile stat-apache-error
$InputFileSeverity error
$InputFilePersistStateInterval 25000

## 日志格式模板:msg代表默认产生的消息
$template apache_temp,"%msg%\n"
##  按照tag分类指定rsyslog日志服务器地址,
if $syslogtag == 'apache-access' then @your_server:port;apache_temp
if $syslogtag == 'apache-access' then ~
if $syslogtag == 'apache-error' then @your_server:port;apache_temp
if $syslogtag == 'apache-error' then ~

服务器端配置

打开 /etc/rsyslog.conf 文件:

# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
 
 # 启用udp模块,默认端口为514 
module(load="imudp")
input(type="imudp" port="514")
#  启用tcp模块
module(load="imtcp")
input(type="imtcp" port="514")

# 将收到的日志模板化,比如在前面添加ip进行区分
$template access_log, "%FROMHOST-IP% %msg%\n"
$template error_log, "%msg%\n"
$template eophp_log, "%msg%\n"
# 指定保存到服务器的路径
# access-log
$template access_log_path, "/data/apache/logs/%$NOW%/access-log/web1-access_log"
# error-log 
$template error_log_path, "/data/apache/logs/%$NOW%/error-log/web1-error_log"
# eophp log
$template eophp_log_path, "/data/eophp_logs/%$NOW%/%FROMHOST-IP%.log"
# if 进行条件匹配比如多台客户端的ip在同一个网络,可以用startwith匹配ip的前缀
# $syslogtag 为日志的tag标签
if $fromhost-ip startswith '119.123.' and $syslogtag == 'apache-access' then ?access_log_path;access_log
& ~
# web1-error-log 
if $fromhost-ip startswith '119.123.' and $syslogtag == 'apache-error' then ?error_log_path;error_log
& ~
# eophp
if $fromhost-ip startswith '119.123.' and $syslogtag == 'eplog' then ?eophp_log_path;eophp_log
&~

# omit...

修改完配置文件,重启rsyslog服务:

service rsyslog restart

日志服务器,客户端变搭建完毕了。

附录:

Facility简介:Facility是syslog的模块,通过facility概念来定义日志消息的来源,以方便对日志进行分类。Facility:有以下设备可选,如有某些需要使用可查看相关文档。

kern   内核消息
user	用户级消息
mail	邮件
daemon	系统服务
syslog	日志系统服务
security/authorization messages
line printer subsystem
network news subsystem
UUCP subsystem		uucp系统消息
clock daemon
security/authorization messages
FTP daemon 
NTP subsystem
log audit
log alert
clock daemon
local0 - local7

Severity:日志等级

0 emerg		系统已经不可用	
1 alert		立即处理
2 Critical	严重错误
3 Error		错误
4 Warning		警告
5 Notice		较为重要
6 Informational		正常消息
7 Debug		debug消息
Centos 7.x rsyslog服务器客户端配置进行日志转发与接收
爱璇子爱生活
10-12 3513
注意1:不管服务还是客户端,首先确保已经装了rsyslog服务并且守护进程开启了。 systemctl status rsyslog.service #检查进程是否开启 #如果没有装该服务,装一下 yum install rsyslog 注意:2:不管是服务还是客户端,在编辑完rsyslog.conf后一定要重启rsyslog服务,才能生效。 服务 进入root用户,编辑/etc...
rsyslog的relp转发及自定义口号问题
多少钱一斤?
07-08 2326
rsyslog是强大而小巧的日志系统,可以汇总client的日志到server,但是其推荐的imrelp/omrelp协议在默认配置时,有口号限制,查起来比较麻烦。中文资料这方面内容就没有,解决起来走了不少弯路。希望给大家借鉴一下。
centos7:rsyslog简单配置客户端和服务
码呀码代码
08-01 6034
实现把一个主机作为客户端,把日志发送到指定的服务器: 【服务器】 开放tcp口,udp口: vim /etc/rsyslog.conf: # Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputT...
Rsyslog日志管理超简单入门
最新发布
m0_74345115的博客
07-19 705
.*;
Apache日志配置远程Syslog采集
leizi191110211的专栏
06-06 4446
本文将指引你:如何对Apache日志进行采集,并通过Syslog协议,自动实时的发送到远程的集中日志分析中心,便于集中式的日志存储和管理,提高网站的运维效率。 第一步:初始化日志采集环境 先确保系统中的/var/spool/rsyslog 目录已存在: mkdir -v /var/spool/rsyslog if [ "$(grep Ubuntu /etc/issue)" != ""
syslog
anjuenz87013的博客
01-18 221
1、void openlog(const char *ident, int option, int facility); 第一个参数ident将是一个标记,ident所表示的字符串将固定地加在每行日志的前面以标识这个日志,通常就写成当前程序的名称以作标记。第二个参数option是下列值取与运算的结果:LOG_CONS,LOG_NDELAY, LOG_NOWAIT, LOG_ODELA...
centos7,客户端和服务使用rsyslog进行日志传输
qq_40673345的博客
01-06 2249
客户端配置rsyslog(centos自带rsyslog,不需要另外下载) vim /etc/rsyslog.conf #### MODULES #### $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides ...
CentOS7下利用rsyslog+loganalyzer配置日志服务器及Linux和windows客户端配置
Dexter_Wang的博客
02-04 9562
随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。 系统管理员遇到的常见问题如下: 1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志;  2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的;  3、在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹;  4、zabbi
centos7,客户端使用rsyslog进行日志传输,服务使用logstash收集
qq_40673345的博客
01-06 1239
客户端配置rsyslog(centos自带rsyslog,不需要另外下载) vim /etc/rsyslog.conf #### MODULES #### $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides ...
CentOS syslog 实现客户端向服务传输日志的说明如何安装配置以及测试详细说说
05-30
在 CentOS 中,可以使用 rsyslog 作为日志收集器,实现客户端向服务传输日志。以下是详细的安装、配置和测试步骤: 1. 在服务安装 rsyslog: ``` yum install rsyslog ``` 2. 配置服务 rsyslog: 编辑 `/...
rsyslog start with
weixin_30784945的博客
08-15 162
startswith Checks if the value is found exactly at the beginning of the property value. For example, if you search for “val” with :msg, startswith, "val" it will be a match if msg contains “valu...
搭建日志服务器 rsyslog
陆家嘴伏地魔
03-30 1366
rsyslog是比syslog功能更强大的日志记录系统,可以将日志输出到文件,数据库和其它程序。
日志审计与分析实验三(rsyslog服务器客户端配置)(Linux日志收集)
weixin_51250102的博客
04-10 9457
rsyslog服务器客户端配置方法
Ubuntu1604 环境搭建rsyslod的总结
bingyu的博客
12-07 546
Ubuntu1604 环境搭建rsyslod的总结 目录Ubuntu1604 环境搭建rsyslod的总结1. 环境安装2. Server配置3. Client配置4. 重启服务5. Serverlog效果 1. 环境安装 sudo apt install rsyslog 2. Server配置 主要修改 # provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # provides
Linux系统日志管理-- rsyslog
weixin_44705391的博客
03-06 6662
rsyslog
Linux Rsyslog日志服务器部署宝典:Linux、Windows及网络设备日志一网打尽
超哥的博客
07-15 3664
Linux Rsyslog日志服务器部署宝典:Linux、Windows及网络设备日志一网打尽
日志服务管理
邢宇宇的博客
04-18 537
【代码】日志服务管理。
Linux 管理秘籍(六)
龙哥盟
07-17 1394
在早期,早在 90 年代的迷雾中,Linux 在访问控制方面并不多……然后是权限和属性。权限和属性是文件的元素,它们决定了系统和用户对该文件(或文件夹)的访问权限,以及在交互方面对文件的操作能力。在基本水平上,您可以使用ls$ ls -l .total 0在本章中,我们将学习从基本的 Linux 权限到 SELinux 和 AppArmor。我们还将探讨可能由 SELinux 或 AppArmor 引起的故障排除问题。我们还将学习不要禁用扩展权限控制的重要性。
linux下rsyslog配置及部署
feifei000131的博客
03-15 3964
linux下rsyslog配置客户端配置rsyslog.confclient)服务配置rsyslog.confserver)部署过程 rsyslog日志传输需要配置两个口,客户端和服务客户端配置rsyslog.confclient) # /etc/rsyslog.conf Configuration file for rsyslog. # # For more information see # /usr/share/doc/rsyslog-doc/html/rsyslog_con
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值