RHEL 6.x 搭建rsyslog日志服务器和loganalyzer 日志分析(3)

三、rsyslog的存储途径

a）日志存储在指定的文件中

[root@jie1 ~]# vim /etc/rsyslog.conf
############vim /etc/rsyslog.conf################################
#====注释掉两行，然后添加一行
#*.info;mail.none;authpriv.none;cron.none  /var/log/messages
*.*                                        /systemlog/jie.log
#authpriv.*                                /var/log/secure
#################################################################
#*.info;mail.none;authpriv.none;cron.none        /var/log/messages
===#这行表示，所有facitlity（设施）的info消息记录，及info级别以上的记录都会保存到 /var/log/messages文件中，除了邮件的所有信息，认证授权的所有信息，计划任务的所有信息。
#authpriv.*          /var/log/secure
===#这行表示认证授权的所有信息，都会保存在/var/log/secure文件中
*.*                /systemlog/jie.log
===#添加的这行表示所有设施的所有信息都会保存在 /systemlog/jie.log文件中，而且此文件不必自己创建，启动rsyslog服务时系统会自动创建，而且权限都是600

b）日志存储在指定的rsyslog服务器中

rsyslog客户端的配置：

[root@jie3 ~]# vim /etc/rsyslog.conf
#############/etc/rsyslog.conf###########################################
#*.info;mail.none;authpriv.none;cron.none        /var/log/messages
*.*                            @172.16.22.1  #添加此行，注释掉其他两行
#authpriv.*                                      /var/log/secure
########################################################################
[root@jie3 ~]# service rsyslog restart
Shutting down system logger:                              [  OK  ]
Starting system logger:                                    [  OK  ]

rsyslog服务器的配置：

[root@jie1 ~]# grep -v "^#" /etc/rsyslog.conf | grep -v "^$"
######修改配置文件只需开启两个模块和协议支持的端口
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog  # provides kernel logging support (previously done by rklogd)
$ModLoad imudp            #开启支持upd的模块
$UDPServerRun 514        #允许接收udp 514的端口传来的日志
ModLoad imtcp            #开启支持tcp的模块
$InputTCPServerRun 514    #允许接收tcp 514的端口传来的日志
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                *
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
$template SpiceTmpl,"%TIMESTAMP%.%TIMESTAMP:::date-subseconds% %syslogtag% %syslogseverity-text%:%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
:programname, startswith, "spice-vdagent"  /var/log/spice-vdagent.log;SpiceTmpl
#################################
[root@jie1 ~]# service rsyslog restart
Shutting down system logger:                              [  OK  ]
Starting system logger:                                    [  OK  ]
[root@jie1 ~]#

c）日志存储在指定的数据库服务器中