Linux Rsyslog日誌集中管理

Linux Rsyslog日誌集中管理

1、Rsyslog簡介

ryslog 是一個快速處理收集系統日誌的程序，提供了高性能、安全功能和模塊化設計。rsyslog 是syslog 的升級版，它將多種來源輸入輸出轉換結果到目的地。

Rsyslog的傳輸方式有三種:

UDP 傳輸協議
基於傳統UDP協議進行遠程日誌傳輸，也是傳統syslog使用的傳輸協議；
可靠性比較低，但性能損耗最少
在網絡狀況比較差，或者接收服務器壓力比較高狀況下，可能存在丟日誌狀況。
TCP 傳輸協議
基於傳統TCP協議明文傳輸，須要回傳進行確認，可靠性比較高；
但在接收服務器宕機或者二者之間網絡出問題的狀況下，會出現丟日誌狀況。
RELP 傳輸協議
RELP（Reliable Event Logging Protocol）是基於TCP封裝的可靠日誌消息傳輸協議；
是爲了解決TCP 與 UDP 協議的缺點而在應用層實現的傳輸協議，也是三者之中最可靠的。
對於線上服務器，爲了日誌安全起見，建議使用仍是使用 RELP 協議進行傳輸。

2、安裝

系統通常會默認安裝 ，yum install rsyslog  -y

若是啓用RELP傳輸方式（yum install rsyslog-relp  -y）

查看服務狀態service rsyslog status

啓動服務service rsyslog start

版本查看rsyslogd -version

3、實驗條件

 Rsyslog 服務器   Rsyslog 客戶端

 實驗須要關閉Rsyslog 服務器和Rsyslog 客戶端的防火牆(service iptables stop setenforce ）

4、實驗步驟 

1、UDP傳輸方式

1.首先在服務端設置啓用哪一種傳輸模式,這裏採用UDP傳輸模式

Vim /etc/rsyslog.conf

　　

2.而後在服務端開啓傳輸端口監聽

Vim /etc/sysconfig/rsyslog

-r指定監聽端口

-c2 使用兼容模式

　　

3.重啓服務 service rsyslog restart

4.在客戶端設置，指定日誌傳輸方式,這裏以UDP傳輸

Vim /etc/rsyslog.conf

　　

5.重啓syslog服務 service rsyslog restart

6.測試

在客戶端生成一條日誌，看服務器是否接受到這個日誌

在客戶端生成一條日誌

　　

7.在服務器端用tail -f /var/log/messages追蹤日誌

　　

2、TCP傳輸方式

1.首先在服務端設置啓用哪一種傳輸模式,這裏採用TCP傳輸模式

Vim /etc/rsyslog.conf

　　

2.而後在服務端開啓傳輸端口監聽

Vim /etc/sysconfig/rsyslog

　　

3.重啓服務 service rsyslog restart

4.在客戶端設置，指定日誌傳輸方式,這裏以TCP傳輸

Vim /etc/rsyslog.conf

　　

5.重啓syslog服務 service rsyslog restart

6.測試

在客戶端生成一條日誌，看服務器是否接受到這個日誌

　　

　　

3、RELP傳輸

1.首先安裝yum install rsyslog-relp  -y   #須要搭建本地yum倉庫

2.在服務端設置啓用哪一種傳輸模式,這裏採用RELP傳輸模式

Vim /etc/rsyslog.conf

添加下面兩句,能夠查看幫助文檔要添加的內容  man rsyslog.conf

　　

3.而後在服務器端開啓傳輸端口監聽

Vim /etc/sysconfig/rsyslog

　　

4.重啓rsyslog服務

5. 在客戶端安裝rsyslog-relp     yum install rsyslog-relp  -y

6.在客戶端設置，指定日誌傳輸方式,這裏以RELP傳輸

添加以下兩句

　　

7.重啓rsyslog服務

8.測試

在客戶端生成一條日誌，看服務器是否接受到這個日誌