本文將指引你:如何對Linux系統日誌進行採集,並通過Syslog協議,自動實時的發送到遠程的集中日誌分析中心,便於集中式的日誌存儲和管理,提高IT的運維效率。
第一步:創建Liunx系統日誌採集配置
新建Rsyslog的子配置文件,他通常在/etc/rsyslog.d下,需要/etc/rsyslog.conf去包含這個目錄下的子配置文件:
vim /etc/rsyslog.d/linux-biglog.conf
複製以下內容到linux-biglog.conf,注意註釋部分的修改:
## 定義日誌格式模板:
$template BiglogFormatLinux,"%msg%\n"
## 注意syslog日誌服務器接收地址,根據實際情況修改:
*.* @10.x.x.x:514;BiglogFormatLinux
$template BiglogFormatLinux,"%msg%\n"
## 注意syslog日誌服務器接收地址,根據實際情況修改:
*.* @10.x.x.x:514;BiglogFormatLinux
注:通過Rsyslog配置日誌接收端的時候,如上示例@10.x.x.x:514,用於指定接收日誌的服務器的協議、IP地址和端口號。使用@代表走UDP協議,使用@@代表走TCP協議,冒號後面的514代表接收端口。
第二步:重啓Rsyslog服務,日誌採集開始工作
service rsyslog restart
此時可以通過觀察系統中的Rsyslog日誌,確定是否正常工作。
cat /var/log/messages |grep rsyslog
