提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
linux系统、debian系统配置rsyslog收集系统日志
前言
一般应用系统等保评测要求收集服务器日志,本文通过配置rsyslog实现服务器日志收集以及传送到指定的服务器
一、修改rsyslog配置文件
vi /etc/rsyslog.conf
开放514端口,去掉#
# provides UDP syslog receptionmodule(load="imudp")input(type="imudp”port="514")
# provides TCP syslog receptionmodule(load="imtcp")input(type="imtcp”port="514")
最后部分加上
authpriv.* @IP
*.err @IP
:wq保存
这里的IP指的是日志统一收集的服务器ip,比如SANGFOR_SIP-Logger提供的IP
增加的这个配置是收集登录日志以及错误日志。
二、重启rsyslog
service rsyslog restart
注意:有时按照配置文件配置好后,发现/var/log/下面没有正常记录日志,比如auth.log里面没有记录到ssh远程登录的日志,此时,可以执行以下操作,
参考自:https://blog.csdn.net/yangwy012210/article/details/122495746
systemd-machine-id-setup
cat /etc/machine-id
systemctl restart systemd-journald.service
service rsyslog restart
至此完成系统配置rsyslog收集系统日志