Linux Rsyslog日志集中管理
linux rsyslog日志集中管理
一、rsyslog简介
ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地。
rsyslog的传输方式有三种:
udp 传输协议
基于传统udp协议进行远程日志传输,也是传统syslog使用的传输协议;
可靠性比较低,但性能损耗最少
在网络情况比较差,或者接收服务器压力比较高情况下,可能存在丢日志情况。
tcp 传输协议
基于传统tcp协议明文传输,需要回传进行确认,可靠性比较高;
但在接收服务器宕机或者两者之间网络出问题的情况下,会出现丢日志情况。
relp 传输协议
relp(reliable event logging protocol)是基于tcp封装的可靠日志消息传输协议;
是为了解决tcp 与 udp 协议的缺点而在应用层实现的传输协议,也是三者之中最可靠的。
对于线上服务器,为了日志安全起见,建议使用还是使用 relp 协议进行传输。
二、安装
系统一般会默认安装 ,yum install rsyslog -y
如果启用relp传输方式(yum install rsyslog-relp -y)
查看服务状态service rsyslog status
启动服务service rsyslog start
版本查看rsyslogd -version
三、实验条件
rsyslog 服务器 rsyslog 客户端
实验需要关闭rsyslog 服务器和rsyslog 客户端的防火墙(service iptables stop setenforce )
四、实验步骤
一、udp传输方式
1.首先在服务端设置启用哪种传输模式,这里采用udp传输模式
vim /etc/rsyslog.conf
2.然后在服务端开启传输端口监听
vim /etc/sysconfig/rsyslog
-r指定监听端口
-c2 使用兼容模式
3.重启服务 service rsyslog restart
4.在客户端设置,指定日志传输方式,这里以udp传输
vim /etc/rsyslog.conf
5.重启syslog服务 service rsyslog restart
6.测试
在客户端生成一条日志,看服务器是否接受到这个日志
在客户端生成一条日志
7.在服务器端用tail -f /var/log/messages追踪日志
二、tcp传输方式
1.首先在服务端设置启用哪种传输模式,这里采用tcp传输模式
vim /etc/rsyslog.conf
2.然后在服务端开启传输端口监听
vim /etc/sysconfig/rsyslog
3.重启服务 service rsyslog restart
4.在客户端设置,指定日志传输方式,这里以tcp传输
vim /etc/rsyslog.conf
5.重启syslog服务 service rsyslog restart
6.测试
在客户端生成一条日志,看服务器是否接受到这个日志
三、relp传输
1.首先安装yum install rsyslog-relp -y #需要搭建本地yum仓库
2.在服务端设置启用哪种传输模式,这里采用relp传输模式
vim /etc/rsyslog.conf
添加下面两句,可以查看帮助文档要添加的内容 man rsyslog.conf
3.然后在服务器端开启传输端口监听
vim /etc/sysconfig/rsyslog
4.重启rsyslog服务
5. 在客户端安装rsyslog-relp yum install rsyslog-relp -y
6.在客户端设置,指定日志传输方式,这里以relp传输
添加如下两句
7.重启rsyslog服务
8.测试
在客户端生成一条日志,看服务器是否接受到这个日志
上一篇: 为网站根目录添加sgid权限