rsyslog是在Linux系统中使用的日志服务器。 其增强的系统日志的版本。 rsyslog现在还支持数据库
(MySQL和PostgreSQL)来存储日志。它是从CentOS/RHEL 6发布使用默认的日志服务器。 rsyslog现在是Linux的一个增强版本操作系统的syslog服务。这篇文章是在我们的主机环境中配置集中式日志服务器。
本文将帮助你在CentOS/RHEL 5中安装rsyslog服务并配置rsyslog将所有的日志发送到一台中央服务器。我们所有的日志文件可以轻松备份到这个服务器上,在这个服务哭上可以分析任务一个独立服务器的日志。我们并不需要在每台服务器上独立设置备份。
第1步:安装rsyslog服务
rsyslog默认安装在基于RHEL系统的RHEL 6版本中。安装rsyslog中央记录系统以及客户端系统。使用下面的命令在RHEL/CentOS的系统中本安装rsyslog服务。
# yum install rsyslog
安装完成后启动rsyslog服务,并确保在服务器上系统日志已停止。
# service syslog stop
# chkconfig syslog off
# service rsyslog start
# chkconfig rsyslog on
第2步:集中登录服务器上配置rsyslog
现在,我们需要中央日志服务器上配置rsyslog并从远程客户端接收日志,并将它们存储在不同的位置。
第2步.1:允许SELinux
如果您的系统中SELinux已经启用,请使用以下命令启用端口514在rsyslog跟踪流量。
# semanage -a -t syslogd_port_t -p udp 514
第2步.2:设置日志文件的位置
编辑rsyslog配置文件,并在系统中配置生成日志文件的位置。
# vim /etc/rsyslog.conf
并添加下列行作为文件的末尾。
$template TmplAuth, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?TmplAuth
*.info,mail.none,authpriv.none,cron.none ?TmplMsg
第2步.3:启用模块和UDP协议
同时删除从下列行注释标记(除去起始#)rsyslog配置文件中启用UDP协议。
$ModLoad imudp
$UDPServerRun 514
第2步.4:打开防火墙访问
如果您在使用iptables来保护您的系统,那么你需要添加以下规则来打开端口
# iptables -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT
第2步.5:重新启动rsyslog
rsyslog中央服务器上面的修改后,重新启动服务使用以下命令。
# service rsyslog restart
第3步:在客户端节点上配置rsyslog
配置rsyslog集中的服务器后,可以配置客户端系统,日志发送到中央服务器rsyslog。登录到每个客户端节点,并在文件的最后添加以下行
# vim /etc/rsyslog.conf
下面添加行,更改主机名或IP为中央rsyslog系统 ip/hostname。
*.* @192.168.1.254:514
[or]
*.* @logserver.example.com:514
并使用以下命令重新启动rsyslog服务。
# service rsyslog restart
你的集中式日志记录服务器设置已经成功完成。
