- A+
Rsyslog是一个免费的开源日志记录实用程序,默认情况下存在于 CentOS 8和RHEL 8系统上。它提供了一种简单有效的方法,可将日志从客户端节点集中到单个中央服务器。日志的集中化有两种好处。首先,它简化了日志的查看,因为系统管理员可以从一个中心点查看远程服务器的所有日志,而无需登录每个客户端系统来检查日志。如果需要监视多台服务器,这将非常有益,其次,如果远程客户端崩溃,则无需担心丢失日志,因为所有日志都将保存在中央rsyslog服务器上。Rsyslog取代了仅支持UDP协议的syslog 。它以优异的功能扩展了基本的syslog协议,例如在传输日志时支持UDP和TCP协议,增强的过滤功能以及灵活的配置选项。也就是说,让我们探索如何在CentOS 8 / RHEL 8系统中配置Rsyslog服务器。
先决条件
我们将具有以下实验室设置来测试集中式日志记录过程:
-
- Rsyslog服务器 CentOS 8最低IP地址:10.128.0.47
- 客户端系统 RHEL 8最低IP地址:10.128.0.48
通过上面的设置,我们将演示如何设置Rsyslog服务器,然后配置客户端系统以将日志发送到Rsyslog服务器进行监视。
让我们开始吧!
在CentOS 8上配置Rsyslog服务器
默认情况下,Rsyslog安装在CentOS 8 / RHEL 8服务器上。要验证Rsyslog的状态,请通过SSH登录并发出以下命令:
$ systemctl status rsyslog
如下:
如果出于某种原因不存在rsyslog,则可以使用以下命令进行安装:
$ sudo yum install rsyslog
接下来,您需要修改Rsyslog配置文件中的一些设置。打开配置文件。
$ sudo vim /etc/rsyslog.conf
滚动并取消注释以下所示的行,以允许通过UDP协议接收日志
module(load="imudp") # needs to be done just once input(type="imudp" port="514")
同样,如果您希望启用TCP rsyslog接收,请取消注释以下行:
module(load="imtcp") # needs to be done just once input(type="imtcp" port="514")
保存并退出配置文件。
要从客户端系统接收日志,我们需要在防火墙上打开Rsyslog默认端口514。为此,请运行
# sudo firewall-cmd --add-port=514/tcp --zone=public --permanent
接下来,重新加载防火墙以保存更改
# sudo firewall-cmd --reload
接下来,重新启动Rsyslog服务器
$ sudo systemctl restart rsyslog
要在启动时启用Rsyslog,请在命令下运行
$ sudo systemctl enable rsyslog
要确认Rsyslog服务器正在侦听端口514,请使用netstat命令,如下所示:
$ sudo netstat -pnltu
完善!我们已经成功配置了Rsyslog服务器,以从客户端系统接收日志。
要实时查看日志消息,请运行以下命令:
$ tail -f /var/log/messages
- 安卓客户端下载
- 微信扫一扫
- 微信公众号
- 微信公众号扫一扫