centos 7.2往rsyslog服務器端發送系統日誌

CentOS 6開始，日誌服務由syslogd變成了rsyslogd，在配置rsyslogd前須要瞭解下系統日誌的8個級別：

0 EMERG（緊急）：可能致使系統不可用的狀況
1 ALERT（警報）：必須立刻解決的問題
2 CRIT（嚴重錯誤）：比較嚴重的狀況
3 ERR（錯誤）：運行出現錯誤
4 WARNING（警告）：可能會影響系統功能的狀況
5 NOTICE（注意）：普通提示信息，不影響系統
6 INFO（普通訊息）：通常信息
7 DEBUG（調試）：程序調試用

1、客戶端配置

一、安裝rsyslog
[root@localhost ~]# rpm -qa | grep rsyslog
rsyslog-7.4.7-12.el7.x86_64
[root@localhost ~]# yum install rsyslog
[root@localhost ~]# vi /etc/rsyslog.conf
*.* @192.168.1.106:514
注：日誌默認使用udp協議，使用@@則使用tcp協議。

2、服務器配置

服務器端修改/etc/rsyslog.conf文件以及/etc/sysconfig/rsyslog文件。

一、修改/etc/rsyslog.conf
[root@localhost ~]# vi /etc/rsyslog.conf
#Provides UDPsyslog reception
$ModLoad imudp
$UDPServerRun514
#### GLOBAL DIRECTIVES ####
#從遠程客戶端接收的日誌寫入到以它們IP命名的單個文件夾中
$template IpTemplate,"/var/log/%FROMHOST-IP%.log"
*.* ?IpTemplate
& ~
或者歸類的更加詳細
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template DynamicFile,"/var/log/gxmlogs/%$YEAR%/%$MONTH%/%$DAY%/%fromhost-ip%-test.log"
*.* ?DynamicFile
以打開日誌服務監聽，輸入netstat –lunp可見rsyslog監聽於514端口(默認端口)


二、修改/etc/sysconfig/rsyslog
[root@localhost ~]# vi /etc/sysconfig/rsyslog  #文件中，需修改
SYSLOGD_OPTIONS="-m240 -r"
其中-r表示接受外部日誌的寫入。


三、防火牆容許514端口，並重啓防火牆，關閉selinux


四、重啓日誌服務
[root@localhost ~]# systemctl stop  rsyslog.service    #關閉日誌服務
[root@localhost ~]# systemctl start  rsyslog.service     #開啓日誌服務


五、客戶端能夠用logger測試測試：
使用logger命令發送日誌進行測試，
[root@localhost ~]# logger –p user.info 「teststr」
發送日誌到本機，本機會進行轉發到日誌服務器，在/var/log/messages中查看發送的日誌。


六、在客戶端/etc/bashrc結尾處加上如下內容，這樣系統執行的命令會記錄到/var/log/messages日誌中，便於測試
# vi /etc/bashrc     
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

# source /etc/bashrc

備註：

CentOS6中配置文件相同，重啓服務命令爲
# service rsyslog restart。