![d493a325b5a61885aecdd9b722a9f210.png](https://i-blog.csdnimg.cn/blog_migrate/e015d9a67fd70402ed50153ac62eae86.jpeg)
日志服务器建立
![30e3315dd3bf9085d5392811a5a048cc.png](https://i-blog.csdnimg.cn/blog_migrate/c8158db417b26c60f51b7d8ec8a047d7.jpeg)
1、尝试利用windows远程连接linux日志客户机
![e841587e9d9c2c9b6b40071a4c69af4a.png](https://i-blog.csdnimg.cn/blog_migrate/8b62620ba61666abfc1f7314320636ab.jpeg)
![a54f248354143415b38f51d9894d49d9.png](https://i-blog.csdnimg.cn/blog_migrate/8ee3d52aec3c4a4b78666ad1e99729c7.jpeg)
此时看日志
![65ed49b0ddf74d39bd3a1d76cf4ecb9b.png](https://i-blog.csdnimg.cn/blog_migrate/46adc17c6bfd97165dc404b57239195b.jpeg)
![9f38db7620a15c0527d298f6b7a8855e.png](https://i-blog.csdnimg.cn/blog_migrate/bfba2f315c77e3d07c7e4de38a9a9b43.png)
![201a2847a498d2ba210db7c7eed44c4c.png](https://i-blog.csdnimg.cn/blog_migrate/2ac98ee4a0fd04a026c6fe03ea5ac301.png)
win主机所做的操作
![5d117ebdede17ea3e61804d034c4fde4.png](https://i-blog.csdnimg.cn/blog_migrate/f399e9189e625bb21815f7cec763f5d1.png)
![ff2062256eea973fcb3fa0ab24862f27.png](https://i-blog.csdnimg.cn/blog_migrate/0dea0a797312a80a8d85cebba3f18bcd.png)
2、配置日志客户端,使其准备发送日志
![e6acce65bdcfe4638454ab490b0ddc27.png](https://i-blog.csdnimg.cn/blog_migrate/9c11a666376f841613e8fa0a315cef21.jpeg)
![47fd3cb108e688d0fa7b0751985f5a64.png](https://i-blog.csdnimg.cn/blog_migrate/3d8e3559bba13aef488541bb39d54477.png)
vim /etc/rsyslog.conf 日志的配置 修改完毕后一定要重启服务生效
![56a740e597a0862acbf1fb6d38a2ed20.png](https://i-blog.csdnimg.cn/blog_migrate/895693937de8b5a388c9250dc332f8f4.jpeg)
![a41775a35a8cb9a7fea7d3178892bf9c.png](https://i-blog.csdnimg.cn/blog_migrate/e74ca20ef17d5f7a749e339793aabccb.jpeg)
3、日志服务器如何接受对方发来的日志
![2b6101e00a07b078a8d74f3285f57474.png](https://i-blog.csdnimg.cn/blog_migrate/f2ee0a1c435a74d30f77ebcfb78ce364.jpeg)
规则编写
![83c2960280444b947d397424184f7d89.png](https://i-blog.csdnimg.cn/blog_migrate/4ba148e0ccc7bec08e4efbdab1b15760.jpeg)
我只接受ip地址是172.16.1.254主机发来的日志,如果接收到了保存到/var/log/nz2001client/172.16.1.254.log
重启生效
![988128a66cf00dd7bb7517ef65a7792e.png](https://i-blog.csdnimg.cn/blog_migrate/65daa0f170efbe40154db15230ebd26a.jpeg)
![2261a9a3037c15bb45f212ad880d2eb9.png](https://i-blog.csdnimg.cn/blog_migrate/2d20ba28aff10277ff2316b7c8ed87b7.png)
![e076afc28c379e9006f71ee55b44c6da.png](https://i-blog.csdnimg.cn/blog_migrate/b195d3d988b4fd29ee9fbb17e0c13eea.jpeg)
验证
重点知识梳理
日志服务器编写规则格式有哪些
:fromhost-ip, isequal, "172.16.1.254" /var/log/nz2001client/172.16.1.254.log
:属性, 比较操作符, "值" 文件保存位置属性包括:
fromhost-ip 按照对方ip地址接收
fromhost 按照对方主机名接收(需要DNS支持)
msg 按照对方发来的日志内容接收(比如日志中带password)
hostname 日志中带的主机名
比较操作符号: isequal 等 于contains 包 含
:fromhost-ip, contains, "172" /xxxxxxxxx
172.16.1.254 192.168.1.172
startswith 以什么什么开头
:fromhost-ip, startwwith, "172" /xxxxxxxxx
172.16.0.1 172.168.1.1
练习:
要求日志记录接收格式,要求只要日志内容中带password这个关键字的内容我都接收(其他的不收)
![a45d807b20f11c823a3c4668bf23f9d4.png](https://i-blog.csdnimg.cn/blog_migrate/8e3a338a18fe6379c9f3a92915ebddb2.jpeg)
![fcba2bc94ade9937c87ab5ebf97f2549.png](https://i-blog.csdnimg.cn/blog_migrate/ce1bbd617524fdd59b70e29950d32fd1.jpeg)