devbox
Cpp五条
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

如何在Ubuntu 18.04 LTS上安装Rsyslog

作者:Cpp五条 | 2024-06-02 20:43:55

如何在Ubuntu 18.04 LTS上安装Rsyslog
导读Ryslog是一个强大而安全的日志处理系统。Rsylog通过多个物理或虚拟服务器在网络上接收日志,并监视不同服务的健康状况。使用Rsyslog,您可以从集中位置监视其他服务器、网络设备和远程应用程序的日志。

简介

日志对于分析和排除Linux中的任何问题非常有用。默认情况下,所有日志文件都位于Linux的/var/log目录中。日志文件有几种类型,包括cron、内核、用户、安全性,这些文件中的大多数都由Rsyslog服务控制。

Ryslog是一个强大而安全的日志处理系统。Rsylog通过多个物理或虚拟服务器在网络上接收日志,并监视不同服务的健康状况。使用Rsyslog,您可以从集中位置监视其他服务器、网络设备和远程应用程序的日志。

准备

安装Rsyslog

默认情况下,Rsyslog安装在Ubuntu 18.04服务器上。如果没有安装,您可以通过运行以下命令来安装它:

linuxprobe@ubuntu-18-04-lts:~$ apt-get install rsyslog -y

在安装Rsyslog之后,您可以使用以下命令检查Rsyslog的版本:

  1. linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -v
  2. rsyslogd 8.32.0, compiled with:
  3. 	PLATFORM:				x86_64-pc-linux-gnu
  4. 	PLATFORM (lsb_release -d):		
  5. 	FEATURE_REGEXP:				Yes
  6. 	GSSAPI Kerberos 5 support:		Yes
  7. 	FEATURE_DEBUG (debug build, slow code):	No
  8. 	32bit Atomic operations supported:	Yes
  9. 	64bit Atomic operations supported:	Yes
  10. 	memory allocator:			system default
  11. 	Runtime Instrumentation (slow code):	No
  12. 	uuid support:				Yes
  13. 	systemd support:			Yes
  14. 	Number of Bits in RainerScript integers: 64
  15.  
  16. See http://www.rsyslog.com for more information.

还可以用这个命令检查Rsyslog的状态:

  1. linuxprobe@ubuntu-18-04-lts:~$ systemctl status rsyslog
  2. ? rsyslog.service - System Logging Service
  3.    Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
  4.    Active: active (running) since Thur 2020-01-16 11:20:32 CST; 1min 31s ago
  5.      Docs: man:rsyslogd(8)
  6.  Main PID: 724 (rsyslogd)
  7.     Tasks: 4 (limit: 1114)
  8.    CGroup: /system.slice/rsyslog.service
  9.            ??724 /usr/sbin/rsyslogd -n
  10.  
  11. Jan 16 04:28:53 ubuntu-18-04-lts systemd[1]: Starting System Logging Service...
  12. Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd.  [v8.32.0]
  13. Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's groupid changed to 106
  14. Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's userid changed to 102
  15. Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]:  [origin software="rsyslogd" swVersion="8.32.0" x-pid="724" x-info="http://www.rsyslog.com"] start
  16. Jan 16 04:28:55 ubuntu-18-04-lts systemd[1]: Started System Logging Service.

配置Rsyslog服务端

linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf

取消这几行前面的注释,同事使用UDP和TCP协议的514端口

  1. $ModLoad imudp
  2. $UDPServerRun 514
  3. $ModLoad imtcp
  4. $InputTCPServerRun 514

指定子网、IP或域名来限制访问,如下所示:

  1. $AllowedSender TCP, 127.0.0.1, 192.168.0.0/24, *.example.com
  2. $AllowedSender UDP, 127.0.0.1, 192.168.0.0/24, *.example.com

创建一个模板来告诉Rsyslog如何存储传入的syslog消息。在GLOBAL DIRECTIVES部分之前添加以下几行:

  1. $template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
  2. *.* ?remote-incoming-logs

用以下命令检查Rsyslog配置信息是否有语法错误:

  1. linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -f /etc/rsyslog.conf -N1
  2. rsyslogd: version 8.32.0, config validation run (level 1), master config /etc/rsyslog.conf
  3. rsyslogd: End of config validation run. Bye.

重新启动Rsyslog:

linuxprobe@ubuntu-18-04-lts:~$ systemctl restart rsyslog

验证Rsyslog正在使用以下命令监听TCP/UDP:

  1. linuxprobe@ubuntu-18-04-lts:~$ netstat -4altunp | grep 514
  2. tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      1332/rsyslogd       
  3. udp        0      0 0.0.0.0:514             0.0.0.0:*                           1332/rsyslogd

配置Rsyslog客户端

配置Rsyslog客户端来向远程服务端发送系统日志消息。登录客户端,打开/etc/rsyslog.conf添加如下信息:

  1. linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf
  2. ##Enable sending of logs over UDP add the following line:
  3.  
  4. *.* @192.168.0.101:514
  5.  
  6.  
  7. ##Enable sending of logs over TCP add the following line:
  8.  
  9. *.* @@192.168.0.101:514
  10.  
  11. ##Set disk queue when rsyslog server will be down:
  12.  
  13. $ActionQueueFileName queue
  14. $ActionQueueMaxDiskSpace 1g
  15. $ActionQueueSaveOnShutdown on
  16. $ActionQueueType LinkedList
  17. $ActionResumeRetryCount -1

重新启动Rsyslog:

linuxprobe@ubuntu-18-04-lts:~$ systemtcl restart rsyslog

查看日志

此时,Rsyslog客户端被配置为将它们的日志发送到Rsyslog服务端。
现在,登录到Rsyslog服务器并检查/var/log目录。看到客户端机器的主机名,包括几个日志文件:

  1. linuxprobe@ubuntu-18-04-lts:~$ ls /var/log/rsyslog-client/
  2. CRON.log  kernel.log  rsyslogd-2039.log  rsyslogd.log  sudo.log  wpa_supplicant.log

总结

在上面的文章中,我们学习了如何在Ubuntu 18.04服务器上安装和配置RysLogServer。我们还学习了如何配置rsyslog客户端 向rsyslog服务端发送日志。Linux就该这么学

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Cpp五条/article/detail/664279
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号