CentOS7,配置rsyslog客户端地址

在CentOS 7系统,将所有日志转发到 192.168.168.168 日志服务器,你可以按照以下步骤进行配置:

确保rsyslog已经被安装

rpm -qa|grep rsyslog

1、打开 rsyslog 配置文件 /etc/rsyslog.conf

vim /etc/rsyslog.conf

2、在文件末尾添加以下行,将所有日志发送到指定的日志服务器 IP 地址和端口号(假设为 UDP 端口 514):

*.* @192.168.168.168:514

3、保存并关闭 rsyslog 配置文件。

4、重新启动 rsyslog 服务以使更改生效:

systemctl restart rsyslog

现在,CentOS 7 上的 rsyslog 服务将会将所有日志转发到指定的日志服务器的 IP 地址和端口号。确保目标日志服务器正确配置,并可以接收和处理来自客户端的日志信息。

 


以下是 /etc/rsyslog.conf 文件的一般结构和常见配置选项的解释:

  1. 注释:/etc/rsyslog.conf 文件中以 # 开头的行是注释,用于提供配置说明和注解。

  2. 模块加载:配置文件通常以模块加载指令开始,如:

    module(load="imuxsock") # 加载系统套接字输入模块 
    module(load="imjournal" StateFile="imjournal.state") # 加载日志日记输入模块 
    module(load="omusrmsg") # 加载用户消息输出模块
  3. 全局配置:配置文件可以包含全局配置选项,如:

    $ModLoad imudp  # 加载 UDP 输入模块
    $UDPServerRun 514  # 运行 UDP 服务器监听端口 514
    $WorkDirectory /var/lib/rsyslog  # 指定工作目录
  4. 规则定义:配置文件中定义了用于处理和转发日志的规则,如:

    if $programname == 'sshd' then /var/log/sshd.log  # 将 SSH 日志记录到指定文件
    if $msg contains 'error' then @syslog-server:514  # 将包含关键字 'error' 的日志发送到远程 Syslog 服务器
  5. 日志文件路径:定义了将日志写入的文件路径,如:

    /var/log/messages  # 默认的系统日志文件
    /var/log/secure  # 安全日志文件
  6. 日志模板:可以定义自定义的日志模板,如:

    template(name="myTemplate" type="string" string="%msg%")  # 定义名为 myTemplate 的日志模板
  7. 过滤条件:可以使用过滤条件限制特定类型的日志事件,如:

    if $syslogfacility-text == 'mail' then /var/log/maillog  # 将邮件日志写入指定文件
    if $msg contains 'critical' then stop  # 如果日志包含关键字 'critical',则停止处理
  8. 远程日志:可以配置 rsyslog 将日志发送到远程 Syslog 服务器,如:

    *.* @syslog-server:514  # 将所有日志发送到远程 Syslog 服务器的 UDP 端口 514

 这里面有很多可选的日志配置,找到你需要上传的日志文件部分,在相关日志提示的下面新增一行,按格式写出日志名和要传递到的服务器。例如

kern可以写成kern.* @10.10.10.192:514

mail可以写成是mail.* @10.10.10.192:514

如果你需要把所有的日志都传递到对方系统中则写成:*.* @10.10.10.192:514

这只是 /etc/rsyslog.conf 文件的一些常见配置选项和示例。通过编辑此文件,可以自定义 rsyslog 服务的行为,例如定义日志路径、过滤规则、日志转发和输出格式等。确保在进行任何更改之前备份原始配置文件,并重启 rsyslog 服务以使更改生效。

posted @ 2023-05-16 14:44  Magiclala  阅读(1968)  评论(2编辑  收藏  举报