CentOS6.5配置rsyslog

如何在RHEL 6.5安裝和配置rsyslog如今7.6版本/ CentOS的6.5 .The狀況是，安裝和RHEL / CentOS的6.5安裝rsyslog如今集中式日誌服務器上。全部的客戶端服務器的日誌將被髮送到集中式日誌服務器即rsyslog如今服務器。

 

檢查預裝rsyslog如今包

第1步：首先檢查rsyslog如今軟件包安裝在您的system.Generally經過默認咱們獲得rsyslog如今5.x版本，以後的CentOS 6.x中的最小安裝 / RHEL 6.x的

咱們將安裝最新的rsyslog如今包。在寫這篇文章的時候，rsyslog如今穩定的7.6版本可用。你能夠找到最新的軟件包信息rsyslog如今官方網站

注意：默認狀況下，RHEL 6.x和CentOS的6.x的有rsyslog如今5.x版 因此在這裏，咱們將更新新版本的rsyslog如今。
你能夠獲得rsyslog如今的版本信息，經過給出兩個命令以下

rpm -qa|grep rsyslog
和
rsyslogd -v

請參閱下面給出的截圖

安裝/ RHEL中6.x的更新版本rsyslog如今7.6 / CentOS的6.x的

對於安裝rsyslog如今7.6版本。建立一個新的yum客戶回購文件並粘貼以下內容。（具備相同的方法，能夠安裝rsyslog如今的其餘版本[ 信息連接 ]）

建立新的文件/etc/yum.repos.d/rsyslog.repo（你能夠用你喜歡的編輯器）

vi /etc/yum.repos.d/rsyslog.repo

粘貼文件/etc/yum.repos.d/rsyslog.repo下面給出的內容（vi編輯器，用於將內容按我鍵，而後粘貼內容的文件，保存按鍵ESC：WQ）

[rsyslog-v7-devel]
name=Adiscon Rsyslog v7-devel for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-devel/epel-$releasever/$basearch
enabled=0
gpgcheck=0
protect=1

[rsyslog-v7-stable]
name=Adiscon Rsyslog v7-stable for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-stable/epel-$releasever/$basearch
enabled=1
gpgcheck=0
protect=1

用於安裝rsyslog如今，在狀況下，包裝不可用數（rpm -qa | grep的rsyslog如今）。定的命令之下運行

yum install rsyslog

對於更新至新版本的rsyslog如今，運行給定的命令以下

yum update rsyslog

在RHEL 6.x的/ CentOS的6.x的配置rsyslog如今

步驟1：使能module.We將經過除去取消對下面給出線#

以原始文件的備份

cp -pv /etc/rsyslog.conf /etc/rsyslog.conf.orig

編輯文件/etc/rsyslog.conf

vi /etc/rsyslog.conf

取消註釋去除＃這些模塊名稱的前

module(load="imuxsock") # provides support for local system logging (e.g. via logger command) module(load="imklog") # provides kernel logging support (previously done by rklogd)

如今，在同一文件中，搜索線*.emerg *。修改動做（即*）用:omusrmsg:*。請參閱下面給出的參考

*.emerg :omusrmsg:*

啓用UDP端口沒有。514爲經過去除符號＃rsyslog如今下面給出線.Uncomment

module(load="imudp") # needs to be done just once input(type="imudp" port="514")

如今，在文件的結尾/etc/rsyslog.conf，粘貼以下代碼（這是rsyslog如今模板）

$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log" $template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth *.info,mail.none,authpriv.none,cron.none ?TmplMsg

如今，保存和文件出口VI /etc/rsyslog.conf

下面給出的是從咱們的服務器的參考，編輯後/etc/rsyslog.conf，它看起來以下（驗證您的文件，下面給出參考）
這裏，egrep -v '^#|^$'命令將顯示從文件只註釋的行。

[root@localhost /]# egrep -v '^#|^$' /etc/rsyslog.conf -v 
module(load="imuxsock") # provides support for local system logging (e.g. via logger command)
module(load="imklog")   # provides kernel logging support (previously done by rklogd)
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  /var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.*   ?TmplAuth
*.info,mail.none,authpriv.none,cron.none   ?TmplMsg
[root@localhost /]# 

第4步：如今編輯文件/ etc / SYSCONFIG / rsyslog如今。而設定的SYSLOGD_OPTIONS不帶參數

SYSLOGD_OPTIONS=""

見咱們的服務器下面給出的參考

[root@localhost ~]# cat /etc/sysconfig/rsyslog
# Options for rsyslogd
# Syslogd options are deprecated since rsyslog v3.
# If you want to use them, switch to compatibility mode 2 by "-c 2"
# See rsyslogd(8) for more details
SYSLOGD_OPTIONS=""
[root@localhost ~]# 

第5步：啓動/從新啓動rsyslog如今服務

對於啓動rsyslog如今

/etc/init.d/rsyslog start 

對於從新啓動rsyslog如今

/etc/init.d/rsyslog restart 

[for stoping rsyslog, /etc/init.d/rsyslog stop]

建立在/ var / log中新目錄

在建立新目錄的/ var /日誌稱爲rsyslog_custom。因此，咱們將保留全部的服務器會記錄這個目錄中。

mkdir -p /var/log/rsyslog_custom

設置rsyslog如今SELINUX規則

有些系統管理員，禁用SELinux的。
若是你想保持SELINUX啓用。使用以下命令
（閱讀此篇，若是semanage的命令沒有發現）

semanage fcontext -a -t syslogd_exec_t /sbin/rsyslogd
restorecon /sbin/rsyslogd

/usr/sbin/semanage fcontext -a -t var_log_t "/var/log/rsyslog_custom(/.*)?"
/sbin/restorecon -R -v /var/log/rsyslog_custom

對於rsyslog如今設置IPTABLES

rsyslog如今服務使用UDP端口號514 .Hence咱們將設置的iptable僅此端口

編輯的/ etc / SYSCONFIG / iptables的

vi /etc/sysconfig/iptables

下面放規則給出始終高於任何拒絕 INPUT規則

-A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT

如今，保存並退出。從新啓動iptables服務

/etc/init.d/iptables restart

使用iptables -nL命令檢查的iptables規則

從新啓動rsyslog如今，驗證監聽端口514的狀態

/etc/init.rsyslog restart

檢查端口514的監聽狀態

netstat -uanp|grep rsyslog

請參閱下面從個人服務器提供參考

[root@localhost ~]# netstat -uanp|grep rsyslog
udp        0      0 0.0.0.0:514                 0.0.0.0:*                               3266/rsyslogd       
udp        0      0 :::514                      :::*                                    3266/rsyslogd       
[root@localhost ~]# 

在客戶端服務器配置rsyslog如今

要提取遠程客戶端servers.We日誌將編輯在客戶機上rsyslog.conf文件。該方法適用於基於紅帽和Debian基於操做系統（例如RHEL，CentOS的，Debian的，Ubuntu的）

句法：
*.* @ip-address-of-rsyslog-server:514

例如：
編輯文件

vi /etc/rsyslog.conf

粘貼下面的線（與你的rsyslog如今服務器的IP地址替換192.168.56.102，這裏514是UDP端口號）

*.* @192.168.56.102:514

保存並從文件/etc/rsyslog.conf退出並從新啓動rsyslog如今服務

/etc/init.d/rsyslog restart

如今，在客戶端系統從新登陸，以便咱們將捕獲log.And相同的日誌信息，咱們將在rsyslog如今看到服務器

驗證日誌中rsyslog如今服務器

切換到目錄/ var /日誌/ rsyslog_custom。你必須看到，目錄與客戶機的主機名。而在那個目錄中，你會看到一些日誌。

cd /var/log/rsyslog_custom

從個人系統參考（輸出將是你的狀況不一樣）

[root@localhost ~]# ls -l /var/log/rsyslog_custom/
total 8
drwx------. 2 root root 4096 Mar  1 07:52 localhost
drwx------. 2 root root 4096 Mar  1 07:47 tuxworld
[root@localhost ~]# 
[root@localhost ~]# ls -l /var/log/rsyslog_custom/tuxworld/
total 32
-rw-------. 1 root root 193 Mar  1 07:46 CRON.log
-rw-------. 1 root root 619 Mar  1 07:47 dbus.log
-rw-------. 1 root root 255 Mar  1 07:47 dhclient.log
-rw-------. 1 root root   0 Mar  1 07:46 kernel.log
-rw-------. 1 root root 659 Mar  1 07:47 NetworkManager.log
-rw-------. 1 root root 120 Mar  1 07:46 rsyslogd-2039.log
-rw-------. 1 root root 149 Mar  1 07:46 rsyslogd.log
-rw-------. 1 root root 296 Mar  1 07:44 sudo.log
-rw-------. 1 root root 316 Mar  1 07:44 su.log
[root@localhost ~]# 

重要提示：設置全部的東西后，它是很好的作法，以檢查在/ var / log / messages中。在任何rsyslog如今相關的錯誤/警告的狀況下被發現

注：此rsyslog如今服務器的設置，建議在安全的內部網絡中使用。該rsyslog如今服務器不該該被公開曝光。

若是你想確保rsyslog如今server.Use的iptable的只接受來自您所需的特定IP地址/網絡日誌。

例如只容許特定的IP地址與鏈接的日誌rsyslog如今服務器。客戶機的IP地址爲192.168.56.1（與你的客戶機的IP地址替換192.168.56.1 [ ifconfig]）

vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m udp -p udp -s 192.168.56.1 --dport 514 -j ACCEPT

從新啓動後，這個iptable的 /etc/init.d/iptables restart

例如。只容許特定的網絡與鏈接的日誌rsyslog如今服務器。網絡子網10.0.0.0/255.255.255.0（從您的網絡信息取代10.0.0.0/255.255.255.0）

vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m udp -p udp -s 10.0.0.0/24 --dport 514 -j ACCEPT

從新啓動的iptable /etc/init.d/iptables restart

照搬連接

http://sharadchhetri.com/2014/03/01/install-and-configure-rsyslog-on-rhel-6-centos-6/

https://www.mtyun.com/library/5/how-to-config-rsyslog/