Centos7使用rsyslog收集日志

最新推荐文章于 2025-02-18 11:35:40 发布
最新推荐文章于 2025-02-18 11:35:40 发布
阅读量1.3k 收藏 2
点赞数
文章标签: linux centos 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41762839/article/details/105324998
版权
本文介绍了如何在Centos7系统中设置rsyslog,将server02的日志通过UDP/TCP发送到server01作为日志收集服务器。详细步骤包括修改rsyslog配置文件,创建日志目录,以及在客户端通过bashrc文件记录命令行操作到日志。最终验证了配置成功。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

虚机ip:10.0.2.15(server01)、10.0.2.16(server02)

使用server01做日志收集服务器,server02做客户端

确保两台服务器rsyslog开启并运行

默认安装,如未安装

yum install rsyslog -y

systemctl enable rsyslog

systemctl restart rsyslog

systemctl status rsyslog

服务端(server01)

vim /etc/rsyslog.conf

$ModLoad imudp

$UDPServerRun 514

$ModLoad imtcp

$InputTCPServerRun 514

将以上4行的注释取消,并添加行:

$template RemoteLogs,"/var/log/devicelog/%$YEAR%-%$MONTH%/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"

*.* ?RemoteLogs

& ~

& ~ 表示的是重定向规则,丢弃,告知rsyslog进程无需后续处理日志消息,无需写入本地日志文件

 

保存退出

mkdir -p /var/log/devicelog

systemctl restart rsyslog

客户端(server02&#

最低0.47元/天 解锁文章
ELK+Filebeat集中式日志解决方案(centos7
bittersweet0324的博客
11-11 1万+
ELK Stack 概述 ELK是一组开源软件的简称,其包括Elasticsearch、Logstash 和 Kibana。
centos7 搭建rsyslog日志服务器
最新发布
suqingdong521的博客
04-24 234
centos7 搭建rsyslog日志服务器
rsyslog 收集系统日志
weixin_30823001的博客
09-10 315
<pre name="code" class="html">nginx 服务器配置: jrhwpt01:/root# cat /etc/rsyslog.conf $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # ...
Rsyslog日志采集
Leader_roncoo的博客
02-21 846
RsyslogCentOS6.X自带的一款系统日志工具: 1.支持多线程 2.支持TCP,SSL,TLS,RELP等协议 3.支持将日志写入MySQL, PGSQL, Oracle等多种关系型数据中 4.拥有强大的过滤器,可实现过滤系统信息中的任意部分 5.可以自定义日志输出格式   配置文件相关: [root@monitorelasticsearch-head]# cat /e
centos7 rsyslog配置
07-23 1900
参考:http://blog.sina.com.cn/s/blog_4c86552f0102y11t.html rsyslog配置文件/etc/rsyslog.conf:$ModLoad immark //日志标签功能$ModLoad imudp$UDPServerRun 514$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat$A...
Centos7部署ELK+filebeat日志收集系统
xixixilalalahaha的博客
10-12 1187
简介 ELK是Elasticsearch、Logstash、Kibana三款开源软件的简称,对外可以作为日志管理系统,它可以收集任何来源的日志,并且对日志进行分析与可视化展示 Elasticsearch是一款开源分布式搜索引擎,它的主要功能为提供收集、分析、存储数据 Logstash是一款服务端的数据传输软件,它的主要功能日志收集、分析、过滤工具,它可以从不同的来源中提取数据,转换并存储到Elasticsearch中供后续处理 Kibana是一款基于web的图形界面,它的主要功能是搜索、分析和可视化存储在
centos7配置rsyslog日志服务器
qq_48257021的博客
02-18 924
•auth: 身份验证相关的消息(登录时)•cron: 进程或应用调度相关的消息•daemon: 守护进程相关的消息(内部服务器)•kernel: 内核相关的消息•mail: 内部邮件服务器相关的消息•syslog: syslog 守护进程本身相关的消息•lpr: 打印服务相关的消息•local0 - local7: 用户自定义的消息 (local7 通常被Cisco 和 Windows 服务器 使用
Centos8 搭建日志服务器rsyslog+loganalyzer
08-12
本文将指导您如何在 CentOS 8 上搭建一个日志服务器,使用 rsyslog 收集外部设备的日志,并使用 loganalyzer 进行 Web 管理。 一、安装 CentOS 8 在开始搭建日志服务器之前,需要首先安装 CentOS 8 操作系统。安装...
CentOS7 利用rsyslog建立日志备份(同步)服务
ElsonHY的博客
11-26 3087
CentOS7 利用rsyslog建立日志备份(同步)服务前言0x01 服务端配置0x02 客户端配置0x03 测试0x04 总结 前言 日志是查看系统运行情况的一个重要部分,在应急响应中,服务器的日志文件就扮演了一个特别重要的作用,管理员根据日志可以判断一些恶意的攻击行为,以此来将一些IP拉入黑名单或者对攻击进行溯源等等。为防止日志被恶意删除的行为,日志的备份就显得特别重要。 0x01 服务端配置 服务端:负责接收其他客户端发来的日志,并做好备份保存。 打开rsyslog的配置文件。 vim /et
CENTOS9+RSYSLOG+LOGROTATE收集日志
静宁宇思
08-06 488
CENTOS9+RSYSLOG+LOGROTATE收集网张设备日志
CentOS 7收集日志 /var/log/messages
热门推荐
tianxieeryang的博客
01-10 1万+
CentOS 7收集日志 /var/log/message背景Solution 前一直有日志生成,正常运行,日志突然不收集 ,最后一次轮替日志之后,/var/log/message, /var/log/secure等都不记录了,并且都是空文件。 背景 重启机器:reboot 无效 重启日志: systemctl start rsyslog 无效 怀疑空间不足,删除/...
linux 7 防火墙 开启日志,centos7搭建syslog服务统一收集服务器、waf、防火墙、交换机及iis日志...
weixin_30977281的博客
05-04 1637
由于等保的要求,日志必须留存180天,关键是安全设备、服务器、IIS的流量日志、访问日志和攻击日志等,由于设施过于分散管理过于复杂,其中部分设备由于并未配置硬盘存储,本地留存能力有限。需要架设一台统一的日志服务器,集中存储和备份各类关键设施的日志一、搭建并测试和运行rsyslog1、centos7上安装rsyslogyuminstallrsyslog2、关闭防火墙systemctlstop ...
日志收集分析系统ELK---rsyslog+filebeat+logstash+es+kibana
遥襟的博客
09-13 2538
rsyslog+filebeat+logstash+es+kibana rsyslog服务端收集客户端的系统日志,filebeat收集rsyslog服务端上所有机器的系统日志,发送给logstash,logstash收集filebeat收集日志并存储到es集群中,kibana图形化显示es中的数据 实验准备四台机器 192.168.200.130 es集群+kibana 192.168.200.131 rsyslog服务端+filebeat 192.168.200.131 logstash
-c -o linux_操作系统学习 认识Linux日志系统
cpongo10的博客~
10-21 202
一、系统日志日志在所有应用系统中都占有极其重要的位置,本文主要介绍Linux系统内核的日志,另外还介绍了一些日志分析工具。1. 说明看Linux系统信息日志主要的两种途径:dmesg,用来检测和控制内核环缓冲。/var/log 下的文件2. dmesgLinux将系统启动信息传到ring buffer中,内核产生的信息由printk()函数打印出来。printk()函数打出的信息用数字表示消息重要...
Centos系统——linux系统日志
weixin_45842014的博客
10-14 979
8. 日志清理 1、编写脚本 2、计划任务
Linux日志服务rsyslog(定向采集+远程同步)
dddxxy的博客
04-11 4153
rsyslog日志管理: /var/log/messages 服务信息日志 /var/log/secure 系统登陆日志 /var/log/cron 定时任务日志 /var/log/maillog 邮件日志 /var/log/boot.log 系统启动日志 日志类型: auth ##pam产生的日志 authpriv ...
linux 7 rsyslog,centos7设置rsyslog日志服务集中服务器
weixin_35400275的博客
05-16 318
centos7设置rsyslog日志服务集中服务器环境:centos6.9_x86_64,自带的rsyslog版本是7.4.7,很多配置都不支持,于是进行升级后配置# 安装新版本的rsyslog程序wget http://rpms.adiscon.com/v8-stable/rsyslog.repomv rsyslog.repo /etc/yum.repos.d/rsyslog.repoyum i...
服务器系统日志有哪些centos,CentOS 分析服务器日志命令
weixin_34602954的博客
08-11 428
# 分析日志文件下 2012-05-04 访问页面最高 的前20个 URL 并排序cataccess.log |grep '04/May/2012'| awk '{print $11}'|sort|uniq -c|sort -nr|head -20# 查询受访问页面的URL地址中 含有 www.abc.com 网址的 IP 地址cataccess_log | awk '($11~/www.abc....
rSyslog日志
DM的个人练习
07-11 1972
rsyslog
CentOS 7部署 Rsyslog 日志服务器,将其余云主机产生的日志收集至 node5 主机,日志使用 TCP 和 UDP 方式传输,要求日志内容包括服务运行日志和安全日志,并能够写入到 cloud_rs yslog 数据库中。
03-10
<think>好的,我现在需要帮助用户在CentOS 7上配置Rsyslog服务器,收集多台云主机的日志使用TCP和UDP协议,并存储到名为cloud_rsyslog的数据库中。首先,我得回忆一下相关的步骤和可能遇到的问题。 用户提到了参考引用中的几个资料,特别是引用[3]和[4],其中提到CentOS 7配置rsyslog接收日志,包括启用TCP和UDP模块,以及动态生成日志文件。但用户的需求还涉及数据库存储,而引用[2]提到rsyslog支持数据库存储,可能需要配置输出到数据库。 首先,确认rsyslog的版本是否支持数据库模块。CentOS 7默认的rsyslog版本可能较旧,可能需要升级或安装额外的模块。比如,可能需要安装rsyslog-mysql或rsyslog-pgsql等包,具体取决于使用的数据库类型。用户提到的数据库名是cloud_rsyslog,可能是指MySQL/MariaDB或PostgreSQL,但用户没有明确说明,可能需要假设为MySQL。 接下来,步骤可能包括: 1. 安装并更新rsyslog,确保支持需要的模块。 2. 配置rsyslog以启用TCP和UDP监听,如引用[3]中的$ModLoad imtcp和$InputTCPServerRun 514,同样需要UDP部分。 3. 配置日志接收规则,可能需要模板来定义存储格式,如动态文件名或数据库字段。 4. 安装并配置数据库,创建cloud_rsyslog数据库及相应的表结构,可能需要使用rsyslog提供的SQL脚本。 5. 配置rsyslog日志写入数据库,可能需要设置模块ommysql或ompgsql。 6. 设置防火墙规则,开放514端口(TCP和UDP)。 7. 测试配置,确保客户端日志能正确发送并存储到数据库。 需要注意的点: - 数据库模块是否已安装,如rsyslog-mysql。 - 数据库的用户权限,确保rsyslog能连接并写入。 - SELinux和防火墙设置是否正确,避免拦截连接。 - 日志模板是否与数据库表结构匹配。 - 是否启用了必要的模块,如imtcp、imudp和ommysql。 可能遇到的问题: - 如果rsyslog版本过低,可能不支持某些功能,需要添加第三方仓库(如epel)或升级。 - 数据库连接错误,比如权限问题或驱动问题。 - 日志无法写入数据库,可能由于表结构不匹配或模板配置错误。 需要检查的配置文件和指令: - /etc/rsyslog.conf 主配置文件 - /etc/rsyslog.d/ 下的自定义配置文件,比如启用数据库输出 - 使用rsyslog-doc查看数据库配置示例 - 数据库的创建和用户授权 现在,按照这些思路整理步骤,确保每个部分都正确,并参考用户提供的引用内容中的相关部分,比如启用TCP/UDP,动态日志存储等。同时,确保数据库存储部分正确配置,可能需要创建数据库表,使用rsyslog提供的SQL脚本,如通常在/usr/share/doc/rsyslog-mysql-*/目录下。 最后,测试步骤,包括发送测试日志,检查数据库是否有记录,以及处理可能出现的错误信息。</think>### 分步配置指南 #### 一、安装必要软件包 1. 更新系统并安装rsyslog及数据库模块: ```bash yum update -y yum install -y rsyslog rsyslog-mysql # 假设使用MySQL/MariaDB数据库 ``` 2. 安装数据库服务(如未安装): ```bash yum install -y mariadb-server mariadb systemctl start mariadb systemctl enable mariadb ``` #### 二、配置数据库存储 1. 创建数据库和表结构: ```bash mysql -u root -p CREATE DATABASE cloud_rsyslog; GRANT ALL ON cloud_rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'your_password'; FLUSH PRIVILEGES; ``` 2. 导入rsyslog提供的表结构: ```bash mysql -u root -p cloud_rsyslog < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql # 路径可能因版本不同而变化 ``` #### 三、配置rsyslog服务端 1. 启用TCP/UDP模块: ```bash # 修改/etc/rsyslog.conf,添加以下内容 module(load="imtcp") # TCP模块 module(load="imudp") # UDP模块 input(type="imtcp" port="514") input(type="imudp" port="514") ``` 2. 配置数据库输出: ```bash # 在/etc/rsyslog.d/mysql.conf中添加 module(load="ommysql") # 加载MySQL输出模块 template(name="sql_format" type="string" string="insert into SystemEvents (Message, FromHost, SysLogTag) values ('%msg%', '%hostname%', '%syslogtag%')") # 适配表结构 action(type="ommysql" server="localhost" db="cloud_rsyslog" uid="rsyslog" pwd="your_password" template="sql_format") ``` 3. 设置日志接收规则(可选): ```bash # 在/etc/rsyslog.d/remote.conf中添加 $template DynamicFile,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log" # 引用动态路径配置[^4] *.* ?DynamicFile & stop # 停止后续处理(避免重复写入) ``` #### 四、防火墙与SELinux设置 1. 开放514端口: ```bash firewall-cmd --permanent --add-port=514/tcp firewall-cmd --permanent --add-port=514/udp firewall-cmd --reload ``` 2. 调整SELinux策略: ```bash setsebool -P rsyslog_export_db 1 semanage port -a -t syslogd_port_t -p tcp 514 semanage port -a -t syslogd_port_t -p udp 514 ``` #### 五、重启服务并验证 ```bash systemctl restart rsyslog # 测试日志发送(客户端执行) logger -n 服务器IP -P 514 -T "Test TCP message" logger -n 服务器IP -P 514 -d "Test UDP message" # 检查数据库记录 mysql -u root -p -e "SELECT * FROM cloud_rsyslog.SystemEvents LIMIT 1;" ``` ### 客户端配置示例(Linux) 1. 编辑客户端`/etc/rsyslog.conf`: ```bash *.* @@(o)服务器IP:514 # TCP发送 *.* @服务器IP:514 # UDP发送 ``` 2. 重启客户端服务: ```bash systemctl restart rsyslog ``` ### 注意事项 1. 数据库表结构需与模板字段匹配,可通过修改`sql_format`调整映射关系[^2] 2. 高并发场景建议分开TCP/UDP端口或使用RELP协议提升可靠性[^1] 3. Windows客户端需使用evtsys等工具发送syslog日志[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值