1 使用rsyslog进行日志集中管理
采用C/S架构:客户端将其日志上传到服务器端,通过对服务器端日志的查询,来实现对其他客户端的日志进行集中管理。将所有其他计算机上的日志全部都记录在一个计算机上。
journal -xn //这个不常用
tail -f /var/log/messages //查看常规日志
日志的传输方式有三种:UDP(tcp 514)、 TCP(tcp 514)、RELP(tcp 2514) 。UDP传输, 但信息有损耗;基于TCP明文的传输,只在特定情况下丢失信息,并被广泛使用;RELP传输,不会丢失信息,但只在rsyslogd 3.15.0及以上版本中可用。安全级别是UDP<TCP<RELP
2 配置rsyslog服务,以2台虚拟机为例
将client连接到server端,可以在server端查看到client客户端的日志信息。以TCP传输为例。
2.1 服务器端
第一步 编辑配置文件:vim /etc/rsyslog.conf,启用传输方式
启用UDP传输方式:取消15、16行的注释
启用TCP传输方式:取消19、20行的注释
启用RELP传输方式得手动添加:$ModLoad imrelp
$InputRELPServerRun 2514
注:如果采用relp传输方式,在服务器和客户端都需安装 rsyslog-relp
第二步 开启传输端口监听 vim /etc/sysconfig/rsyslog,添加:
SYSLOGD_OPTIONS="-r514 -c2"
注: -r 指定监听端口 ; -c2 使用兼容模式(是否使用兼容模式只针对TCP、UDP,即使用TCP传输时,加上-c2参数意味着兼容UDP模式传输,以此类推;但是RELP用不到-c2参数,即RELP无兼容模式)
第三步 重启服务 systemctl restart rsyslog
2.2 客户端
第一步 指定日志传输方式 ,编辑配置文件 #vim /etc/rsyslog.conf,在最后添加所用的传输方式的格式内容。1)、2)、3)是“或”的关系
1)*.* @服务器ip地址:端口号 //采用UDP传输的格式
例:*.* @192.168.1.1:514
2)*.* @@服务器IP地址:端口号 //TCP传输
例:*.* @@192.168.1.1:514
3)$ModLoad omrelp
*.* :omrelp:服务器IP地址:端口号 //RELP传输
例:$ModLoad omrelp
*.* :omrelp:192.168.1.2:2514
第二步 重启服务 systemctl restart rsyslog
第三步 先用 tail -f /var/log/messages 预先查看本客户端的日志信息
1)在客户端生成一条日志,看服务器端是否接受到这个日志
#logger -t kern -p err "hello,wahaha"
//使用logger命令生成日志消息,消息级别为内核信息,类型为错误日志信息,内容为hello wahaha。
2)tail -f /var/log/messages 再次看一下是否产生了错误日志
第四步 在服务器端查看:tail -f /var/log/messages
注:如果采用relp传输方式,在服务器端除了要修改/etc/rsyslog中的传输方式外,还要修改/etc/sysconfig/rsyslog中监听的端口号。
3 采用UDP、RELP传输方式
3.1 采用UDP传输
1)配置服务器端
第一步 编辑配置文件:vim /etc/rsyslog.conf,启用UDP传输方式,取消15、16行的注释
第二步 开启传输端口监听 vim /etc/sysconfig/rsyslog,添加:
SYSLOGD_OPTIONS="-r514 -c2"
第三步 重启服务 systemctl restart rsyslog
2)配置客户端
第一步 指定日志传输方式 ,编辑配置文件 #vim /etc/rsyslog.conf,在最后添加
*.* @192.168.1.1:514
第二步 重启服务 systemctl restart rsyslog
第三步 先用 tail -f /var/log/messages 预先查看本客户端的日志信息
1)在客户端生成一条日志,看服务器端是否接受到这个日志
#logger -t kern -p err "hello,wahaha"
2)tail -f /var/log/messages 再次看一下是否产生了错误日志
第四步 在服务器端查看:tail -f /var/log/messages
3.2 采用RELP传输方式
1)配置服务器端
第一步 安装软件 #yum install rsyslog-relp
第二步 编辑配置文件 #vim /etc/rsyslog.conf ,在最后添加两行
$ModLoad imrelp
$InputRELPServerRun 2514
第三步 开启传输端口监听 vim /etc/sysconfig/rsyslog,添加:
SYSLOGD_OPTIONS="-r2514"
第四步 重启服务 systemctl restart rsyslog
2)配置客户端及测试
第一步 安装软件 #yum install rsyslog-relp
第二步 指定日志传输方式 ,编辑配置文件 #vim /etc/rsyslog.conf,在最后添加2行
$ModLoad omrelp
*.* :omrelp:192.168.1.1:2514
第三步 重启服务 systemctl restart rsyslog
第四步 先用 tail -f /var/log/messages 预先查看本客户端的日志信息
1)在客户端生成一条日志,看服务器端是否接受到这个日志
#logger -t kern -p err "hello,wahaha"
2)tail -f /var/log/messages 再次看一下是否产生了错误日志
第五步 在服务器端查看:tail -f /var/log/messages
转载请注明出处,谢谢!