Linux Rsyslog日志集中管理

Linux Rsyslog日志集中管理

1、Rsyslog简介

ryslog 是一个快速处理收集系统日志的程序，提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版，它将多种来源输入输出转换结果到目的地。

Rsyslog的传输方式有三种:

UDP 传输协议
基于传统UDP协议进行远程日志传输，也是传统syslog使用的传输协议；
可靠性比较低，但性能损耗最少
在网络状况比较差，或者接收服务器压力比较高状况下，可能存在丢日志状况。
TCP 传输协议
基于传统TCP协议明文传输，须要回传进行确认，可靠性比较高；
但在接收服务器宕机或者二者之间网络出问题的状况下，会出现丢日志状况。
RELP 传输协议
RELP（Reliable Event Logging Protocol）是基于TCP封装的可靠日志消息传输协议；
是为了解决TCP 与 UDP 协议的缺点而在应用层实现的传输协议，也是三者之中最可靠的。
对于线上服务器，为了日志安全起见，建议使用仍是使用 RELP 协议进行传输。

2、安装

系统通常会默认安装 ，yum install rsyslog  -y

若是启用RELP传输方式（yum install rsyslog-relp  -y）

查看服务状态service rsyslog status

启动服务service rsyslog start

版本查看rsyslogd -version

3、实验条件

 Rsyslog 服务器   Rsyslog 客户端

 实验须要关闭Rsyslog 服务器和Rsyslog 客户端的防火墙(service iptables stop setenforce ）

4、实验步骤 

1、UDP传输方式

1.首先在服务端设置启用哪一种传输模式,这里采用UDP传输模式

Vim /etc/rsyslog.conf

　　

2.而后在服务端开启传输端口监听

Vim /etc/sysconfig/rsyslog

-r指定监听端口

-c2 使用兼容模式

　　

3.重启服务 service rsyslog restart

4.在客户端设置，指定日志传输方式,这里以UDP传输

Vim /etc/rsyslog.conf

　　

5.重启syslog服务 service rsyslog restart

6.测试

在客户端生成一条日志，看服务器是否接受到这个日志

在客户端生成一条日志

　　

7.在服务器端用tail -f /var/log/messages追踪日志

　　

2、TCP传输方式

1.首先在服务端设置启用哪一种传输模式,这里采用TCP传输模式

Vim /etc/rsyslog.conf

　　

2.而后在服务端开启传输端口监听

Vim /etc/sysconfig/rsyslog

　　

3.重启服务 service rsyslog restart

4.在客户端设置，指定日志传输方式,这里以TCP传输

Vim /etc/rsyslog.conf

　　

5.重启syslog服务 service rsyslog restart

6.测试

在客户端生成一条日志，看服务器是否接受到这个日志

　　

　　

3、RELP传输

1.首先安装yum install rsyslog-relp  -y   #须要搭建本地yum仓库

2.在服务端设置启用哪一种传输模式,这里采用RELP传输模式

Vim /etc/rsyslog.conf

添加下面两句,能够查看帮助文档要添加的内容  man rsyslog.conf

　　

3.而后在服务器端开启传输端口监听

Vim /etc/sysconfig/rsyslog

　　

4.重启rsyslog服务

5. 在客户端安装rsyslog-relp     yum install rsyslog-relp  -y

6.在客户端设置，指定日志传输方式,这里以RELP传输

添加以下两句

　　

7.重启rsyslog服务

8.测试

在客户端生成一条日志，看服务器是否接受到这个日志