font color=black size=2 >版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
1、配置syslog
默认已经安装了rsyslog服务
PS:尽量采用TCP protocol,收集的日志包括“rsyslog.conf”和”rsyslog.d”下面定义的*.conf
创建所要收集的服务配置文件,这里收集的是apache log
[root@localhost ~]# vim /etc/rsyslog.d/graylog.conf #配置名默认没有,自定义
#load imfile module
$ModLoad imfile
# 检查日志文件间隔(秒)
$InputFilePollInterval 3
# 指定日志文件的拥有者和用户组
$FileOwner root
$PrivDropToGroup root
# 指定日志格式模板;"%msg%\n": 日志的完整消息文本
$template BiglogFormatApache,"%msg%\n"
# 收集http日志文件
$InputFileName /var/log/httpd/access_log
# 写入日志附加标签字符串
$InputFileTag apache-access
# 定义记录偏移量数据文件名
$InputFileStateFile stat_apache_access
#日志等级
$InputFileSeverity info
# 回写偏移量数据到文件间隔时间(秒)
$InputFilePersistStateInterval 25000
# 关闭重复消息控制
$RepeatedMsgReduction off
# 激活读取,可以设置多组日志读取,每组结束时设置本参数。以示生效。
$InputRunFileMonitor
$InputFileName /var/log/httpd/error_log
$InputFileTag apache-error
$InputFileStateFile stat_apache_error
$InputFileSeverity error
$InputFilePersistStateInterval 25000
$RepeatedMsgReduction off
$InputRunFileMonitor
# 提交数据到服务器
*.* @@192.168.16.143:5140;RSYSLOG_SyslogProtocol23Format
[root@localhost ~]#
[root@localhost ~]# systemctl restart rsyslog
2、配置input
3、graylog服务器端防火墙开放端口
[root@graylog-server ~]# firewall-cmd --permanent --add-port=5140/tcp
[root@graylog-server ~]# firewall-cmd –reload
Client发送测试数据
[root@localhost ~]# logger -p mail.info 'hello!'