Linux rsyslog 简记

初学Linux rsyslog记录

rsyslog服务提供对分布式日志的集中化管理，将各分布主机上的日志收集到集中式日志服务器上。

一、首先需要在日志服务器Server端开启远程服务。修改配置文件：/var/log/rsyslog.conf

以下为开启UDP连接：

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

以下为开启TCP连接：

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514


修改完成后需要重启rsyslog服务。执行命令 # restart rsyslog

二、然后在存放日志的Local主机建立到Server的连接。同样，修改配置文件：/var/log/rsyslog.conf

$ModLoad imfile#use "imfile" module to monitor files

# monitor file1
$InputFileName /home/yurunsheng/file1.log
$InputFileTag file1_tag:
$InputFileFacility local1
$InputFileStateFile file1_state
$InputRunFileMonitor

# monitor file2
$InputFileName /home/yurunsheng/file2.log
$InputFileTag file2_tag:
$InputFileFacility local2
$InputFileStateFile file2_state
$InputRunFileMonitor

local1.*;local2.*@@172.16.93.133:514 # setup connection
to logging server

关于imfile及更多配置参数 点此

注意，因为服务器开启的是TCP连接，故此处两个“@”符。若建立UDP连接，则为一个。@后接服务器地址加端口

三、再回到服务器端，设置收集到的日志的存放位置。

local1.* /var/log/file1_on_server.log


local2.* /var/log/file2_on_server.log

以上两行分别设置两个文件在server上的存放目录。




每次修改rsyslog.conf后都需重启rsyslog服务以生效