日誌分析-1.rsyslog 基礎配置（服務器/客戶端）

日誌分析-1.rsyslog 基礎配置（服務器/客戶端）
centos6起/etc/syslog.conf不再有！而是/etc/rsyslog.conf代替！
rsyslog是syslog的多線程增強版，現在Fedora、Ubuntu,、rhel6、centos6默認的日誌系統都是rsyslog了。
rsyslog主要用來收集系統產生的各種日誌，日誌默認放在/var/log/目錄下。
日誌收集工具，不僅僅可以收集本機的日誌，還可以收集其他機器的日誌

在客戶端/服務器架構的配置下，rsyslog同時扮演了兩種角色：
1.作爲服務器，rsyslog可以收集來自其他設施的日誌信息；
2.作爲客戶端，rsyslog可以將其內部的日誌信息傳輸到遠程的syslog服務器。

rsyslog是日誌收集工具，現在很多Linux都自帶rsyslog，用其替換掉syslog。
【實例】
server：192.168.10.222
client：192.168.4.171
client：192.168.4.178

一.服務器端192.168.10.222上配置
vim /etc/rsyslog.conf
1.開啓UDP，TCP
-------------------------------------------------------------
# provides UDP syslog reception
$ModLoad imudp   #開啓，去掉#
$UDPServerRun 514  #開啓，去掉#

# provides TCP syslog reception
$ModLoad imtcp    #開啓，去掉#
$InputTCPServerRun 514 #開啓，去掉#

將上面的4行註釋取消
有2中傳送方式，UDP和TCP 【UDP，TCP後續說明】
UDP是一種比TCP速度快，但是並不具有TCP一樣的數據流的可靠性。所以如果你需要使用可靠的傳送機制就去掉tcp部分的數值

需要注意的是，TCP和UDP可以被同時生效來監聽TCP/UDP 連接。
如果監控的是私有ip地址，開啓UDP足以

如果開啓TCP就還需要加一個配置
$InputTCPMaxSessions 500  #tcp接收連接數爲500個

2.其他部分默認

3.檢查配置文件是否正確
rsyslogd -N1
檢查配置是否正確
如果有錯誤會報error

4.重新啓動rsyslog日誌
/etc/init.d/rsyslog restart  

5.（如果有防火牆就開啓udp的514端口，161是給snmp用的）
防護牆開啓端口,日誌收集服服務器必須開啓
-A INPUT -s XXXXX/24 -i bond1 -p udp -m udp --dport 514 -j ACCEPT
-A INPUT -s XXXXX/24 -i bond1 -p udp -m udp --dport 161 -j ACCEPT

二.2個客戶端的配置
1.修改配置 vim /etc/rsyslog.conf
#
# First some standard log files.  Log by facility.
#
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none,cron.!*  -/var/log/syslog
*.*;auth,authpriv.none,cron.!*  @192.168.10.222    #添加這一條,ip爲服務器的ip地址  服務器端ip地址 添加這一條,ip爲服務器的ip地址【注意@ip直接沒有空格】
cron.*                          /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log

2.其他部分默認

3.檢查配置文件是否正確
rsyslogd -N1
檢查配置是否正確
如果有錯誤會報error

4.重新啓動rsyslog日誌
/etc/init.d/rsyslog restart  

4.發送一條測試日誌
使用netcat發送一條測試日誌，使用rsyslog來驗證能夠接收UDP信息： 【nc 命令後續說明】
echo ":hello" | nc -u -w 1 服務器ip地址 514   


在服務器端
tail -f /var/log/message
在客戶端上分別運行
root@Debian-171:~# echo ":test-hello" | nc -u -w 1 192.168.10.222 514
root@demohost:~# echo ":Debian-hello" | nc -u -w 1 192.168.10.222 514

可以看到
May 19 12:00:09 192.168.4.178 : Debian-hello
May 19 12:01:01 192.168.4.171 : test-hello


以下幾個部分在後續內容介紹
rsyslog的輪訓，過濾，以及高級使用，以及當下比較流行ELK，以及記錄交換機等網絡設備的日誌

以上是個人點點總結和理解，水平不高，文筆水平很爛，請各位大大見諒。
可以一起交流學習。

  我的QQ：610851588
  可以加入我建的羣（現在羣人很少，希望慢慢多起來）
  Linux  羣：183932302
  Python ，shell 交流羣：469094734