CentOS 6開始,日誌服務由syslogd變成了rsyslogd,在配置rsyslogd前需要了解下系統日誌的8個級別: 0 EMERG(緊急):可能導致系統不可用的情況 1 ALERT(警報):必須馬上解決的問題 2 CRIT(嚴重錯誤):比較嚴重的情況 3 ERR(錯誤):運行出現錯誤 4 WARNING(警告):可能會影響系統功能的情況 5 NOTICE(注意):普通提示信息,不影響系統 6 INFO(普通信息):一般信息 7 DEBUG(調試):程序調試用
一、客戶端配置
1、安裝rsyslog [root@localhost ~]# rpm -qa | grep rsyslog rsyslog-7.4.7-12.el7.x86_64 [root@localhost ~]# yum install rsyslog [root@localhost ~]# vi /etc/rsyslog.conf *.* @192.168.1.106:514 注:日誌默認使用udp協議,使用@@則使用tcp協議。
二、服務器配置
服務器端修改/etc/rsyslog.conf文件以及/etc/sysconfig/rsyslog文件。
1、修改/etc/rsyslog.conf
[root@localhost ~]# vi /etc/rsyslog.conf
#Provides UDPsyslog reception
$ModLoad imudp
$UDPServerRun514
#### GLOBAL DIRECTIVES ####
#從遠程客戶端接收的日誌寫入到以它們IP命名的單個文件夾中
$template IpTemplate,"/var/log/%FROMHOST-IP%.log"
*.* ?IpTemplate
& ~
或者歸類的更加詳細
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template DynamicFile,"/var/log/gxmlogs/%$YEAR%/%$MONTH%/%$DAY%/%fromhost-ip%-test.log"
*.* ?DynamicFile
以打開日誌服務監聽,輸入netstat –lunp可見rsyslog監聽於514端口(默認端口)
2、修改/etc/sysconfig/rsyslog
[root@localhost ~]# vi /etc/sysconfig/rsyslog #文件中,需修改
SYSLOGD_OPTIONS="-m240 -r"
其中-r表示接受外部日誌的寫入。
3、防火牆允許514端口,並重啓防火牆,關閉selinux
4、重啓日誌服務
[root@localhost ~]# systemctl stop rsyslog.service #關閉日誌服務
[root@localhost ~]# systemctl start rsyslog.service #開啓日誌服務
5、客戶端可以用logger測試測試:
使用logger命令發送日誌進行測試,
[root@localhost ~]# logger –p user.info “teststr”
發送日誌到本機,本機會進行轉發到日誌服務器,在/var/log/messages中查看發送的日誌。
6、在客戶端/etc/bashrc結尾處加上以下內容,這樣系統執行的命令會記錄到/var/log/messages日誌中,便於測試
# vi /etc/bashrc
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
# source /etc/bashrc備註:
CentOS6中配置文件相同,重啓服務命令爲 # service rsyslog restart。