CentOS 7搭建Rsyslong集中式日志系统(2)

在接收日志的主机上,进入目录/var/log,可以看到生成了两个文件夹server112和server204(根据两台主机名生成的),在server204文件夹中的一个名为root.log文件就是该主机上执行过的所有命令,其他文件都是根据进程名生成的。

设置日志回滚,编辑文件/etc/logrotate.d/syslog

把记录日志的两个路径添加进去,记得把server112和server204替换为你的主机名

CentOS 7搭建Rsyslong集中式日志系统

这样就能自动回滚这两个目录下的所有日志

附件:创建日志接收模板

可以使用下面的模式对特定的设备或严重性级别使用新的模板直接来记录日志消息。

[facility-level].[severity-level] ?RemoteLogs

serverity-level table(服务级别列表)

serverity-level table(服务级别列表

 

数字代码

 

服务级别

 

描述

 

0

 

emerg

 

系统不可用

 

1

 

alert

 

必须马上采取救援行动

 

2

 

crit

 

严重错误信息

 

3

 

error

 

错误信息

 

4

 

warning

 

警告信息

 

5

 

notice

 

普通但是值得注意的信息

 

6

 

info

 

一般信息

 

7

 

debug

 

调试信息

 

facility-level table(设备级别列表),如下图

CentOS 7搭建Rsyslong集中式日志系统

例如:

将全部优先级别的所有内部用户验证消息指定为RemoteLogs模板:

authpriv.* ?RemoteLogs

将所有系统进程中除开mail、用户验证和cron消息之外的进程产生的消息级别的日志指定为RemoteLogs模板:

*.info,mail.none,authpriv.none,cron.none ?RemoteLogs

如果我们想要将所有从远程客户端接受到的消息写入到一个以它们的IP地址命名的单个文件中,可以使用以下的模板。在此我们为该模板赋予了“IpTemplate”名称。

$template IpTemplate,"/var/log/%FROMHOST-IP%.log" *.* ?IpTemplate & ~

排错

上面的配置很简单,但是有时候服务端就是很诡异地接收不到客户端发送的日志(在服务端的/var/log目录下没有以客户端主机名命名的文件夹),此时就要逐一检查以下问题:

1.检查配置文件是否有错

2.两台机器之间是否能ping通

3.查看服务端是否已经在监控514端口:netstat -lnutp

4.注意服务端监控的514端口究竟是udp还是tcp协议,而客户端也必须使用一致的协议

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/6832216617429eafd439929594c7b119.html