(1).发送日志的服务器(被收集)
[[email protected] ~]# vim /etc/rsyslog.conf //在#*.* @@remote-host:514行下添加一行 *.* @@192.168.1.222:514 //@@表示使用TCP协议,@表示使用UDP协议 [[email protected] ~]# systemctl restart rsyslog.service
(2).接收日志的服务器(收集端)
[[email protected] ~]$ vim /etc/rsyslog.conf //将以下两行的注释符去除 #$ModLoad imtcp #$InputTCPServerRun 514 [[email protected] ~]# setenforce 0 //临时关闭SELinux [[email protected] ~]# systemctl stop firewalld.service //临时关闭防火墙 [[email protected] ~]# systemctl restart rsyslog.service //重启服务 [[email protected] ~]# netstat -anlpt | grep 514 //查看是否开启 tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 9708/rsyslogd tcp6 0 0 :::514 :::* LISTEN 9708/rsyslogd
注意:收集端需要关闭SELinux和防火墙。
当被收集端产生日志时,就可以看到接收到的日志了,接收的日志和原来的日志位置一样,不过可以后期定制(local0~local7)
[[email protected] ~]# tail -f /var/log/messages | grep CentOS6 Feb 15 00:56:12 CentOS6 kernel: Kernel logging (proc) stopped. Feb 15 00:56:12 CentOS6 rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="2826" x-info="http://www.rsyslog.com"] exiting on signal 15. Feb 15 00:56:12 CentOS6 kernel: imklog 5.8.10, log source = /proc/kmsg started. Feb 15 00:56:12 CentOS6 rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="2859" x-info="http://www.rsyslog.com"] start
(3).其他需要根据各自使用的日志整理软件配置了,前面应该都是一样的。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/2826.html