Syslog日志中心服務器收集windows和linux客戶端日志
Vdi環境下,虛擬機太多,我們不可能一台一台登錄到虛機里面看日志,配置一台日志中心服務器,收集、管理虛機的日志是最好的方法;這里介紹在windows下使用nxlog日志上傳工具(在win7、server2008、2012上測試通過),並且占用的資源很小(見圖); linux下使用自帶的syslog(Ubuntu14、12,centos7、6.5、6.4、6.3測試通過),並指向syslog中心日志服務器,在syslog中心日志服務器上就能對大量虛機的日志進行管理了。
(一)客戶端配置
(1)Windows Nxlog客戶端配置:
附件安裝包:
這款軟件可以在32位和64位os上安裝。
安裝好的位置如下圖:示例是32位操作系統
安裝好后修改配置文件:
打開conf文件夾下 nxlog.conf文件,按下圖注釋位置修改:
1)填入文件安裝路徑(注意32位和64位os的路徑不一樣)
2)使用udp協議
3)接受消息的地址
4)514端口
配置好后啟動nxlog服務,設成自動啟動
Nxlog在server2008下占用的資源圖:
(2)Linux下syslog客戶端配置:
修改配置文件:
#vi /etc/rsyslog.conf
在最后一行加入:
*.* @169.169.169.169:514 #將所有消息發送到該地址
重啟服務:
#service rsyslog restart
(二)Syslog中心日志服務器配置:
1)修改rsyslog.conf文件:
#vi /etc/rsyslog.conf
去掉$ModLoad imudp和 $UDPServerRun 514 兩行前面的注釋#號
2)# service rsyslog restart
3)# ip net
# ip net exec qrouter-1f6fafcf-8b73-4f59-9a38-b176b3649cac #需要修改qrouter
iptables -t nat -A neutron-l3-agent-PREROUTING -p udp -d 169.169.169.169 --dport 514 -j DNAT --to 192.168.201.13:514
#***********
將發送到169.169.169.169 514端口的消息轉發到syslog中心日志服務器192.168.201.13:514 需要修改成syslog中心日志服務器的IP和端口
***********#
#service iptables restart
驗證:
Syslog中心日志服務器上能看到時間 日期 計算機名 事件代碼的日志信息,跟windows下對比是一致的,這樣在syslog服務器上就能實時看到Windows虛擬機的日志了,只要Windows虛機產生日志,都會馬上傳到syslog服務器上
下圖是Syslog客戶端發送的消息
Syslong中心日志服務器收到消息,可以看到虛機neustor的日志信息,跟syslog客戶端發來的一致
注:日志發送的是計算機名,如果虛機計算機名是一樣的就無法辨別了,所以虛機計算機名需要修改,NewName.bat的作用是修改計算機名的,運行一次重啟后隨機生成計算機名;如果是大批量的創建虛擬機,可以將該批處理放在windows啟動項,然后做成鏡像,再創建虛擬機,虛機建好后生成的計算機名不一樣,解決發送到syslog服務器日志重名無法辨別是哪台機器的問題。
-----windows下修改計算機名批處理,用法:放到開機啟動再做鏡像。
Linux客戶端的syslog能發包到169.169.169.169,見下圖: