CentOS6.5配置rsyslog

如何在RHEL 6.5安裝和配置rsyslog現在7.6版本/ CentOS的6.5 .The情況是，安裝和RHEL / CentOS的6.5安裝rsyslog現在集中式日志服務器上。所有的客戶端服務器的日志將被發送到集中式日志服務器即rsyslog現在服務器。

 

檢查預裝rsyslog現在包

第1步：首先檢查rsyslog現在軟件包安裝在您的system.Generally通過默認我們得到rsyslog現在5.x版本，之后的CentOS 6.x中的最小安裝 / RHEL 6.x的

我們將安裝最新的rsyslog現在包。在寫這篇文章的時候，rsyslog現在穩定的7.6版本可用。你可以找到最新的軟件包信息rsyslog現在官方網站

注意：默認情況下，RHEL 6.x和CentOS的6.x的有rsyslog現在5.x版 所以在這里，我們將更新新版本的rsyslog現在。
你可以得到rsyslog現在的版本信息，通過給出兩個命令如下

rpm -qa|grep rsyslog
和
rsyslogd -v

請參閱下面給出的截圖

安裝/ RHEL中6.x的更新版本rsyslog現在7.6 / CentOS的6.x的

對於安裝rsyslog現在7.6版本。創建一個新的yum客戶回購文件並粘貼如下內容。（具有相同的方法，可以安裝rsyslog現在的其他版本[ 信息鏈接 ]）

創建新的文件/etc/yum.repos.d/rsyslog.repo（你可以用你喜歡的編輯器）

vi /etc/yum.repos.d/rsyslog.repo

粘貼文件/etc/yum.repos.d/rsyslog.repo下面給出的內容（vi編輯器，用於將內容按我鍵，然后粘貼內容的文件，保存按鍵ESC：WQ）

[rsyslog-v7-devel]
name=Adiscon Rsyslog v7-devel for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-devel/epel-$releasever/$basearch
enabled=0
gpgcheck=0
protect=1

[rsyslog-v7-stable]
name=Adiscon Rsyslog v7-stable for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-stable/epel-$releasever/$basearch
enabled=1
gpgcheck=0
protect=1

用於安裝rsyslog現在，在情況下，包裝不可用數（rpm -qa | grep的rsyslog現在）。定的命令之下運行

yum install rsyslog

對於更新至新版本的rsyslog現在，運行給定的命令如下

yum update rsyslog

在RHEL 6.x的/ CentOS的6.x的配置rsyslog現在

步驟1：使能module.We將通過除去取消對下面給出線#

以原始文件的備份

cp -pv /etc/rsyslog.conf /etc/rsyslog.conf.orig

編輯文件/etc/rsyslog.conf

vi /etc/rsyslog.conf

取消注釋去除＃這些模塊名稱的前

module(load="imuxsock") # provides support for local system logging (e.g. via logger command) module(load="imklog") # provides kernel logging support (previously done by rklogd)

現在，在同一文件中，搜索線*.emerg *。修改動作（即*）用:omusrmsg:*。請參閱下面給出的參考

*.emerg :omusrmsg:*

啟用UDP端口沒有。514為通過去除符號＃rsyslog現在下面給出線.Uncomment

module(load="imudp") # needs to be done just once input(type="imudp" port="514")

現在，在文件的結尾/etc/rsyslog.conf，粘貼如下代碼（這是rsyslog現在模板）

$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log" $template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth *.info,mail.none,authpriv.none,cron.none ?TmplMsg

現在，保存和文件出口VI /etc/rsyslog.conf

下面給出的是從我們的服務器的參考，編輯后/etc/rsyslog.conf，它看起來如下（驗證您的文件，下面給出參考）
這里，egrep -v '^#|^$'命令將顯示從文件只注釋的行。

[root@localhost /]# egrep -v '^#|^$' /etc/rsyslog.conf -v 
module(load="imuxsock") # provides support for local system logging (e.g. via logger command)
module(load="imklog")   # provides kernel logging support (previously done by rklogd)
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  /var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.*   ?TmplAuth
*.info,mail.none,authpriv.none,cron.none   ?TmplMsg
[root@localhost /]# 

第4步：現在編輯文件/ etc / SYSCONFIG / rsyslog現在。而設定的SYSLOGD_OPTIONS不帶參數

SYSLOGD_OPTIONS=""

見我們的服務器下面給出的參考

[root@localhost ~]# cat /etc/sysconfig/rsyslog
# Options for rsyslogd
# Syslogd options are deprecated since rsyslog v3.
# If you want to use them, switch to compatibility mode 2 by "-c 2"
# See rsyslogd(8) for more details
SYSLOGD_OPTIONS=""
[root@localhost ~]# 

第5步：啟動/重新啟動rsyslog現在服務

對於啟動rsyslog現在

/etc/init.d/rsyslog start 

對於重新啟動rsyslog現在

/etc/init.d/rsyslog restart 

[for stoping rsyslog, /etc/init.d/rsyslog stop]

創建在/ var / log中新目錄

在創建新目錄的/ var /日志稱為rsyslog_custom。所以，我們將保留所有的服務器會記錄這個目錄中。

mkdir -p /var/log/rsyslog_custom

設置rsyslog現在SELINUX規則

有些系統管理員，禁用SELinux的。
如果你想保持SELINUX啟用。使用如下命令
（閱讀此篇，如果semanage的命令沒有發現）

semanage fcontext -a -t syslogd_exec_t /sbin/rsyslogd
restorecon /sbin/rsyslogd

/usr/sbin/semanage fcontext -a -t var_log_t "/var/log/rsyslog_custom(/.*)?"
/sbin/restorecon -R -v /var/log/rsyslog_custom

對於rsyslog現在設置IPTABLES

rsyslog現在服務使用UDP端口號514 .Hence我們將設置的iptable僅此端口

編輯的/ etc / SYSCONFIG / iptables的

vi /etc/sysconfig/iptables

下面放規則給出始終高於任何拒絕 INPUT規則

-A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT

現在，保存並退出。重新啟動iptables服務

/etc/init.d/iptables restart

使用iptables -nL命令檢查的iptables規則

重新啟動rsyslog現在，驗證監聽端口514的狀態

/etc/init.rsyslog restart

檢查端口514的監聽狀態

netstat -uanp|grep rsyslog

請參閱下面從我的服務器提供參考

[root@localhost ~]# netstat -uanp|grep rsyslog
udp        0      0 0.0.0.0:514                 0.0.0.0:*                               3266/rsyslogd       
udp        0      0 :::514                      :::*                                    3266/rsyslogd       
[root@localhost ~]# 

在客戶端服務器配置rsyslog現在

要提取遠程客戶端servers.We日志將編輯在客戶機上rsyslog.conf文件。該方法適用於基於紅帽和Debian基於操作系統（例如RHEL，CentOS的，Debian的，Ubuntu的）

句法：
*.* @ip-address-of-rsyslog-server:514

例如：
編輯文件

vi /etc/rsyslog.conf

粘貼下面的線（與你的rsyslog現在服務器的IP地址替換192.168.56.102，這里514是UDP端口號）

*.* @192.168.56.102:514

保存並從文件/etc/rsyslog.conf退出並重新啟動rsyslog現在服務

/etc/init.d/rsyslog restart

現在，在客戶端系統重新登錄，以便我們將捕獲log.And相同的日志信息，我們將在rsyslog現在看到服務器

驗證日志中rsyslog現在服務器

切換到目錄/ var /日志/ rsyslog_custom。你必須看到，目錄與客戶機的主機名。而在那個目錄中，你會看到一些日志。

cd /var/log/rsyslog_custom

從我的系統參考（輸出將是你的情況不同）

[root@localhost ~]# ls -l /var/log/rsyslog_custom/
total 8
drwx------. 2 root root 4096 Mar  1 07:52 localhost
drwx------. 2 root root 4096 Mar  1 07:47 tuxworld
[root@localhost ~]# 
[root@localhost ~]# ls -l /var/log/rsyslog_custom/tuxworld/
total 32
-rw-------. 1 root root 193 Mar  1 07:46 CRON.log
-rw-------. 1 root root 619 Mar  1 07:47 dbus.log
-rw-------. 1 root root 255 Mar  1 07:47 dhclient.log
-rw-------. 1 root root   0 Mar  1 07:46 kernel.log
-rw-------. 1 root root 659 Mar  1 07:47 NetworkManager.log
-rw-------. 1 root root 120 Mar  1 07:46 rsyslogd-2039.log
-rw-------. 1 root root 149 Mar  1 07:46 rsyslogd.log
-rw-------. 1 root root 296 Mar  1 07:44 sudo.log
-rw-------. 1 root root 316 Mar  1 07:44 su.log
[root@localhost ~]# 

重要提示：設置所有的東西后，它是很好的做法，以檢查在/ var / log / messages中。在任何rsyslog現在相關的錯誤/警告的情況下被發現

注：此rsyslog現在服務器的設置，建議在安全的內部網絡中使用。該rsyslog現在服務器不應該被公開曝光。

如果你想確保rsyslog現在server.Use的iptable的只接受來自您所需的特定IP地址/網絡日志。

例如只允許特定的IP地址與連接的日志rsyslog現在服務器。客戶機的IP地址為192.168.56.1（與你的客戶機的IP地址替換192.168.56.1 [ ifconfig]）

vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m udp -p udp -s 192.168.56.1 --dport 514 -j ACCEPT

重新啟動后，這個iptable的 /etc/init.d/iptables restart

例如。只允許特定的網絡與連接的日志rsyslog現在服務器。網絡子網10.0.0.0/255.255.255.0（從您的網絡信息取代10.0.0.0/255.255.255.0）

vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m udp -p udp -s 10.0.0.0/24 --dport 514 -j ACCEPT

重新啟動的iptable /etc/init.d/iptables restart

照搬鏈接

http://sharadchhetri.com/2014/03/01/install-and-configure-rsyslog-on-rhel-6-centos-6/

https://www.mtyun.com/library/5/how-to-config-rsyslog/