小編給大家分享一下如何搭建rsyslog日志服務(wù)器，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

創(chuàng)新互聯(lián)建站是一家專(zhuān)業(yè)提供善左企業(yè)網(wǎng)站建設(shè),專(zhuān)注與成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、H5建站、小程序制作等業(yè)務(wù)。10年已為善左眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進(jìn)行中。

環(huán)境配置

centos7系統(tǒng) client1：192.168.91.17

centos7系統(tǒng) master：192.168.91.18

rsyslog客戶端配置

1、rsyslog安裝

yum install rsyslog

2、啟用UDP進(jìn)行傳輸

vim /etc/rsyslog.conf

# Provides UDP syslog reception     #若啟用UDP進(jìn)行傳輸，則取消下面兩行的注釋
$ModLoad imudp
$UDPServerRun 514# Provides TCP syslog reception     #若啟用TCP進(jìn)行傳輸，則取消下面兩行的注釋
#$ModLoad imtcp
#$InputTCPServerRun 514*.*    @192.168.28.149:514          #若啟用TCP傳輸則使用@@，若是UDP則使用@

3、重啟rsyslog服務(wù)

systemctl restart rsyslog

rsyslog服務(wù)端配置

1、啟用UDP/TCP進(jìn)行傳輸

vim /etc/rsyslog.conf
# Provides UDP syslog reception     #若啟用UDP進(jìn)行傳輸，則取消下面兩行的注釋
$ModLoad imudp
$UDPServerRun 514

 # Provides TCP syslog reception     #若啟用TCP進(jìn)行傳輸，則取消下面兩行的注釋
#$ModLoad imtcp
#$InputTCPServerRun 514

2、重啟rsyslog服務(wù)

systemctl restart rsyslog

測(cè)試服務(wù)是否能夠?qū)⒖蛻舳说南到y(tǒng)日志傳回服務(wù)端

1、在服務(wù)端不間斷輸出系統(tǒng)日志文件

tailf /var/log/messages

第二：在客戶端使用logger生成測(cè)試日志信息（并查看服務(wù)器端輸出，判斷是否通過(guò)網(wǎng)絡(luò)將日志收集到了）

logger "rsyslog test"

Rsyslog搭建中心日志服務(wù)器

默認(rèn)配置下，接收到的日志寫(xiě)入服務(wù)端對(duì)應(yīng)的日志文件里，如：如果涉及到了secure日志的記錄，就會(huì)寫(xiě)到服務(wù)器端的/var/log/secure里面，也就是客戶端自己寫(xiě)一份然后再往服務(wù)器端寫(xiě)一份。

我們通過(guò)下面三個(gè)問(wèn)題，對(duì)服務(wù)端日志配置進(jìn)行優(yōu)化。

優(yōu)化問(wèn)題 1：從客戶端發(fā)送過(guò)來(lái)的日志，在主機(jī)位置顯示自己的主機(jī)名，本地查看還是可以的，如果都匯聚到一個(gè)服務(wù)器了，如何去判斷此條消息是哪個(gè)服務(wù)器發(fā)過(guò)來(lái)的呢，顯然要以IP的形式更好一點(diǎn)，下面來(lái)設(shè)置一下。

需要在服務(wù)器端修改日志模板配置：

#### GLOBAL DIRECTIVES ####
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"$ActionFileDefaultTemplate myFormat

重啟rsyslog服務(wù)后，通過(guò)IP形式展示：

優(yōu)化問(wèn)題 2：服務(wù)端接收的日志過(guò)于分散，是否可疑將日志存放到一個(gè)指定的目錄里面，進(jìn)行日志分類(lèi)存儲(chǔ)。

打開(kāi)/etc/rsyslog.conf文件，啟用UDP協(xié)議，盡量避免修改主配置文件，我們?cè)?code>/etc/rsyslog.d/中新建default.conf，追加如下模板：

#### GLOBAL DIRECTIVES ####

# Use default timestamp format  # 使用自定義的格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"$ActionFileDefaultTemplate myFormat     

# 根據(jù)客戶端的IP單獨(dú)存放主機(jī)日志在不同目錄，rsyslog需要手動(dòng)創(chuàng)建
$template RemoteLogs,"/var/log/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"# 排除本地主機(jī)IP日志記錄，只記錄遠(yuǎn)程主機(jī)日志
:fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs
# 忽略之前所有的日志，遠(yuǎn)程主機(jī)日志記錄完之后不再繼續(xù)往下記錄& ~

通過(guò)使用自定義格式，將不同客戶端IP的日志單獨(dú)存放在不同目錄。

優(yōu)化問(wèn)題 3：

rsyslog寫(xiě)日志自定義，比如/data/rsyslog 目錄權(quán)限沒(méi)有問(wèn)題，但是日志無(wú)法正常輸出？

只需要關(guān)閉SELinux即可實(shí)現(xiàn)日志文件路徑寫(xiě)入的問(wèn)題。

臨時(shí)關(guān)閉SELinux
setenforce 0永久關(guān)閉
vi /etc/selinux/config
改成
SELINUX=disable

以上是“如何搭建rsyslog日志服務(wù)器”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！