在接收日志的主机上,进入目录/var/log,可以看到生成了两个文件夹server112和server204(根据两台主机名生成的),在server204文件夹中的一个名为root.log文件就是该主机上执行过的所有命令,其他文件都是根据进程名生成的。
设置日志回滚,编辑文件/etc/logrotate.d/syslog
把记录日志的两个路径添加进去,记得把server112和server204替换为你的主机名
这样就能自动回滚这两个目录下的所有日志
附件:创建日志接收模板可以使用下面的模式对特定的设备或严重性级别使用新的模板直接来记录日志消息。
[facility-level].[severity-level] ?RemoteLogs
serverity-level table(服务级别列表)
serverity-level table(服务级别列表)
数字代码
服务级别
描述
0
emerg
系统不可用
1
alert
必须马上采取救援行动
2
crit
严重错误信息
3
error
错误信息
4
warning
警告信息
5
notice
普通但是值得注意的信息
6
info
一般信息
7
debug
调试信息
facility-level table(设备级别列表),如下图
例如:
将全部优先级别的所有内部用户验证消息指定为RemoteLogs模板:
authpriv.* ?RemoteLogs
将所有系统进程中除开mail、用户验证和cron消息之外的进程产生的消息级别的日志指定为RemoteLogs模板:
*.info,mail.none,authpriv.none,cron.none ?RemoteLogs
如果我们想要将所有从远程客户端接受到的消息写入到一个以它们的IP地址命名的单个文件中,可以使用以下的模板。在此我们为该模板赋予了“IpTemplate”名称。
$template IpTemplate,"/var/log/%FROMHOST-IP%.log" *.* ?IpTemplate & ~
排错上面的配置很简单,但是有时候服务端就是很诡异地接收不到客户端发送的日志(在服务端的/var/log目录下没有以客户端主机名命名的文件夹),此时就要逐一检查以下问题:
1.检查配置文件是否有错
2.两台机器之间是否能ping通
3.查看服务端是否已经在监控514端口:netstat -lnutp
4.注意服务端监控的514端口究竟是udp还是tcp协议,而客户端也必须使用一致的协议