CentOS6.5配置rsyslog

如何在RHEL 6.5安装和配置rsyslog如今7.6版本/ CentOS的6.5 .The状况是，安装和RHEL / CentOS的6.5安装rsyslog如今集中式日志服务器上。全部的客户端服务器的日志将被发送到集中式日志服务器即rsyslog如今服务器。

 

检查预装rsyslog如今包

第1步：首先检查rsyslog如今软件包安装在您的system.Generally经过默认咱们获得rsyslog如今5.x版本，以后的CentOS 6.x中的最小安装 / RHEL 6.x的

咱们将安装最新的rsyslog如今包。在写这篇文章的时候，rsyslog如今稳定的7.6版本可用。你能够找到最新的软件包信息rsyslog如今官方网站

注意：默认状况下，RHEL 6.x和CentOS的6.x的有rsyslog如今5.x版 因此在这里，咱们将更新新版本的rsyslog如今。
你能够获得rsyslog如今的版本信息，经过给出两个命令以下

rpm -qa|grep rsyslog
和
rsyslogd -v

请参阅下面给出的截图

安装/ RHEL中6.x的更新版本rsyslog如今7.6 / CentOS的6.x的

对于安装rsyslog如今7.6版本。建立一个新的yum客户回购文件并粘贴以下内容。（具备相同的方法，能够安装rsyslog如今的其余版本[ 信息连接 ]）

建立新的文件/etc/yum.repos.d/rsyslog.repo（你能够用你喜欢的编辑器）

vi /etc/yum.repos.d/rsyslog.repo

粘贴文件/etc/yum.repos.d/rsyslog.repo下面给出的内容（vi编辑器，用于将内容按我键，而后粘贴内容的文件，保存按键ESC：WQ）

[rsyslog-v7-devel]
name=Adiscon Rsyslog v7-devel for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-devel/epel-$releasever/$basearch
enabled=0
gpgcheck=0
protect=1

[rsyslog-v7-stable]
name=Adiscon Rsyslog v7-stable for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-stable/epel-$releasever/$basearch
enabled=1
gpgcheck=0
protect=1

用于安装rsyslog如今，在状况下，包装不可用数（rpm -qa | grep的rsyslog如今）。定的命令之下运行

yum install rsyslog

对于更新至新版本的rsyslog如今，运行给定的命令以下

yum update rsyslog

在RHEL 6.x的/ CentOS的6.x的配置rsyslog如今

步骤1：使能module.We将经过除去取消对下面给出线#

以原始文件的备份

cp -pv /etc/rsyslog.conf /etc/rsyslog.conf.orig

编辑文件/etc/rsyslog.conf

vi /etc/rsyslog.conf

取消注释去除＃这些模块名称的前

module(load="imuxsock") # provides support for local system logging (e.g. via logger command) module(load="imklog") # provides kernel logging support (previously done by rklogd)

如今，在同一文件中，搜索线*.emerg *。修改动做（即*）用:omusrmsg:*。请参阅下面给出的参考

*.emerg :omusrmsg:*

启用UDP端口没有。514为经过去除符号＃rsyslog如今下面给出线.Uncomment

module(load="imudp") # needs to be done just once input(type="imudp" port="514")

如今，在文件的结尾/etc/rsyslog.conf，粘贴以下代码（这是rsyslog如今模板）

$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log" $template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth *.info,mail.none,authpriv.none,cron.none ?TmplMsg

如今，保存和文件出口VI /etc/rsyslog.conf

下面给出的是从咱们的服务器的参考，编辑后/etc/rsyslog.conf，它看起来以下（验证您的文件，下面给出参考）
这里，egrep -v '^#|^$'命令将显示从文件只注释的行。

[root@localhost /]# egrep -v '^#|^$' /etc/rsyslog.conf -v 
module(load="imuxsock") # provides support for local system logging (e.g. via logger command)
module(load="imklog")   # provides kernel logging support (previously done by rklogd)
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  /var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.*   ?TmplAuth
*.info,mail.none,authpriv.none,cron.none   ?TmplMsg
[root@localhost /]# 

第4步：如今编辑文件/ etc / SYSCONFIG / rsyslog如今。而设定的SYSLOGD_OPTIONS不带参数

SYSLOGD_OPTIONS=""

见咱们的服务器下面给出的参考

[root@localhost ~]# cat /etc/sysconfig/rsyslog
# Options for rsyslogd
# Syslogd options are deprecated since rsyslog v3.
# If you want to use them, switch to compatibility mode 2 by "-c 2"
# See rsyslogd(8) for more details
SYSLOGD_OPTIONS=""
[root@localhost ~]# 

第5步：启动/从新启动rsyslog如今服务

对于启动rsyslog如今

/etc/init.d/rsyslog start 

对于从新启动rsyslog如今

/etc/init.d/rsyslog restart 

[for stoping rsyslog, /etc/init.d/rsyslog stop]

建立在/ var / log中新目录

在建立新目录的/ var /日志称为rsyslog_custom。因此，咱们将保留全部的服务器会记录这个目录中。

mkdir -p /var/log/rsyslog_custom

设置rsyslog如今SELINUX规则

有些系统管理员，禁用SELinux的。
若是你想保持SELINUX启用。使用以下命令
（阅读此篇，若是semanage的命令没有发现）

semanage fcontext -a -t syslogd_exec_t /sbin/rsyslogd
restorecon /sbin/rsyslogd

/usr/sbin/semanage fcontext -a -t var_log_t "/var/log/rsyslog_custom(/.*)?"
/sbin/restorecon -R -v /var/log/rsyslog_custom

对于rsyslog如今设置IPTABLES

rsyslog如今服务使用UDP端口号514 .Hence咱们将设置的iptable仅此端口

编辑的/ etc / SYSCONFIG / iptables的

vi /etc/sysconfig/iptables

下面放规则给出始终高于任何拒绝 INPUT规则

-A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT

如今，保存并退出。从新启动iptables服务

/etc/init.d/iptables restart

使用iptables -nL命令检查的iptables规则

从新启动rsyslog如今，验证监听端口514的状态

/etc/init.rsyslog restart

检查端口514的监听状态

netstat -uanp|grep rsyslog

请参阅下面从个人服务器提供参考

[root@localhost ~]# netstat -uanp|grep rsyslog
udp        0      0 0.0.0.0:514                 0.0.0.0:*                               3266/rsyslogd       
udp        0      0 :::514                      :::*                                    3266/rsyslogd       
[root@localhost ~]# 

在客户端服务器配置rsyslog如今

要提取远程客户端servers.We日志将编辑在客户机上rsyslog.conf文件。该方法适用于基于红帽和Debian基于操做系统（例如RHEL，CentOS的，Debian的，Ubuntu的）

句法：
*.* @ip-address-of-rsyslog-server:514

例如：
编辑文件

vi /etc/rsyslog.conf

粘贴下面的线（与你的rsyslog如今服务器的IP地址替换192.168.56.102，这里514是UDP端口号）

*.* @192.168.56.102:514

保存并从文件/etc/rsyslog.conf退出并从新启动rsyslog如今服务

/etc/init.d/rsyslog restart

如今，在客户端系统从新登陆，以便咱们将捕获log.And相同的日志信息，咱们将在rsyslog如今看到服务器

验证日志中rsyslog如今服务器

切换到目录/ var /日志/ rsyslog_custom。你必须看到，目录与客户机的主机名。而在那个目录中，你会看到一些日志。

cd /var/log/rsyslog_custom

从个人系统参考（输出将是你的状况不一样）

[root@localhost ~]# ls -l /var/log/rsyslog_custom/
total 8
drwx------. 2 root root 4096 Mar  1 07:52 localhost
drwx------. 2 root root 4096 Mar  1 07:47 tuxworld
[root@localhost ~]# 
[root@localhost ~]# ls -l /var/log/rsyslog_custom/tuxworld/
total 32
-rw-------. 1 root root 193 Mar  1 07:46 CRON.log
-rw-------. 1 root root 619 Mar  1 07:47 dbus.log
-rw-------. 1 root root 255 Mar  1 07:47 dhclient.log
-rw-------. 1 root root   0 Mar  1 07:46 kernel.log
-rw-------. 1 root root 659 Mar  1 07:47 NetworkManager.log
-rw-------. 1 root root 120 Mar  1 07:46 rsyslogd-2039.log
-rw-------. 1 root root 149 Mar  1 07:46 rsyslogd.log
-rw-------. 1 root root 296 Mar  1 07:44 sudo.log
-rw-------. 1 root root 316 Mar  1 07:44 su.log
[root@localhost ~]# 

重要提示：设置全部的东西后，它是很好的作法，以检查在/ var / log / messages中。在任何rsyslog如今相关的错误/警告的状况下被发现

注：此rsyslog如今服务器的设置，建议在安全的内部网络中使用。该rsyslog如今服务器不该该被公开曝光。

若是你想确保rsyslog如今server.Use的iptable的只接受来自您所需的特定IP地址/网络日志。

例如只容许特定的IP地址与链接的日志rsyslog如今服务器。客户机的IP地址为192.168.56.1（与你的客户机的IP地址替换192.168.56.1 [ ifconfig]）

vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m udp -p udp -s 192.168.56.1 --dport 514 -j ACCEPT

从新启动后，这个iptable的 /etc/init.d/iptables restart

例如。只容许特定的网络与链接的日志rsyslog如今服务器。网络子网10.0.0.0/255.255.255.0（从您的网络信息取代10.0.0.0/255.255.255.0）

vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m udp -p udp -s 10.0.0.0/24 --dport 514 -j ACCEPT

从新启动的iptable /etc/init.d/iptables restart

照搬连接

http://sharadchhetri.com/2014/03/01/install-and-configure-rsyslog-on-rhel-6-centos-6/

https://www.mtyun.com/library/5/how-to-config-rsyslog/